GDPR
1.1. Všeobecné definice
Co znamená GDPR?
General Data Protection Regulation je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Jde o kontinuitu se zmíněnou Směrnicí 95/46/ES, která jím bude zrušena. Od roku 2000 upravuje zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vychází ze zmíněné směrnice. Osobní údaje zpracováváme již podle tohoto zákona.
Předmětem GDPR je sledovat legitimní účel, pro poskytování osobních údajů a jejich ochraně např. při uzavření Kupní smlouvy.
1.2. Nejdůležitější pojmy
Definice pojmů jsou obsaženy v článku 4 odst. 1 obecného nařízení.
Zpracování osobních údajů
Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Osobní údaj
Osobním údajem je jakákoli informace týkající se identifikované či identifikovatelné fyzické osoby a skutečnost, že identifikace, resp. identifikovatelnost může nastat různými způsoby, ne vždy pouze podle jména, příjmení, adresy a data narození, ale i např. kódem, který je třeba zaměstnanci přidělen či IP adresou atd.
Byť je definice osobního údaje poměrně široká, je nutné vzít v potaz, že aplikace zákona o ochraně osobních údajů, resp. obecného nařízení nastává až při zpracování osobních údajů.Subjekt údajů
Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se výlučně k právnické osobě tak nejsou osobními údaji. Osobním údajem však již je např. e-mailová adresa zaměstnance právnické osoby, typicky ve tvaru jmeno.prijmeni@nazevfirmy.cz
Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.Správce
Zpracovatelem je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Zpracovatelem není jednotlivý zaměstnanec správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Přístup k osobním údajům
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
- účely zpracování,
- kategorie dotčených osobních údajů,
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
- plánovaná doba, po kterou budou osobní údaje uloženy,
- existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
- právo podat stížnost u dozorového úřadu,
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Porušení zabezpečení osobních údajů
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
1.3. Přístupy a povinnosti
Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. Tento přístup platí v současné době za účinnosti zákona č. 101/2000 Sb., o ochraně osobních údajů.
V pojetí obecného nařízení tento přístup navíc znamená aplikaci dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby a je tedy důvodné aplikovat tyto povinnosti. Mezi tyto nové povinnosti, o kterých nelze hovořit, že se plošně vztahují na všechny správce či zpracovatele patří:
• záznamy o činnostech zpracování,• jmenování pověřence pro ochranu osobních údajů,
• posouzení vlivu na ochranu osobních údajů,
• předchozí konzultace s dozorovým úřadem.
• povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.
Zásady:
- Zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně.
- Omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely.- Minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
- Přesnost - osobní údaje musí být přesné.
- Omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány.
- Integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.
Právní důvody zpracování osobních údajů subjektu údajů
Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:
a) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
b) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,Souhlas se zpracováním osobních údajů
Souhlas (viz. definice článek 4 odst. 1 bod 11 obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.
Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.
Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Souhlas subjektu údajů není vyžadován pro účely zpracování nezbytné např. pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů.
Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např. provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.
Zvláštní kategorie osobních údajů (citlivé údaje)
Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
1.5. Práva subjektu údajů
Lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů
Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
Práva subjektu údajů
Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů tak, aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.
Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od veřejně přístupných údajů subjektu, resp. nejsou získány přímo od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě (žádosti) subjektu údajů, patří
• právo na přístup k osobním údajům,• právo na opravu, resp. doplnění,
• právo na výmaz,
• právo na omezení zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.
Právo na výmaz
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
- subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
- osobní údaje byly zpracovány protiprávně.
- osobní údaje musí být vymazány ke splnění právní povinnosti,
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
- zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.
Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.1.6. Odpovědnost správce
Správce odpovídá za dodržování povinností kladených obecným nařízením. Zcela zásadní je dodržování zásad zpracování, jejichž dodržování zároveň musí být správce schopen doložit. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. Samozřejmostí však musí být plnění i dalších povinností stanovených obecným nařízením. Každý správce by si měl ověřit, v jakém rozsahu na něj obecné nařízení dopadne, zejména pokud jde o nové povinnosti založené na přístupu na riziku (např. může dopadat povinnost jmenovat pověřence, posoudit vliv na ochranu osobních údajů).
Obecné nařízení výslovně počítá i s možností tzv. společných správců. Jde o případ, kdy účel a prostředky zpracování stanoví společně dva nebo více správců, kteří si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností.1.7. Zabezpečení osobních údajů
Správce musí přijmout s ohledem na povahu, rozsah a účely zpracování technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s obecným nařízením.
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pokud dojde k porušení zabezpečení osobních údajů, měl by správce zvážit, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit subjektu údajů. Tyto povinnosti nastanou tehdy, pokud porušení zabezpečení představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.Pokud dojde k porušení zabezpečení osobních údajů, musí správce toto porušení bez zbytného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu (Úřadu pro ochranu osobních údajů), ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové.
Pokud nastane porušení zabezpečení u zpracovatele, hlásí jej správci, pro kterého dotčené osobní údaje zpracovává.
V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt údajů. Správce tak nemusí činit, pokud použil předběžná opatření, která činí osobní údaje nečitelnými pro všechny neoprávněné osoby (např. šifrování nebo unikly pseudonymizované údaje bez vazby na subjekt údajů) či použil následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví. Povinnost oznámit bezpečnostní incident subjektu údajů správci nenastane ani tehdy, pokud by to vyžadovalo nepřiměřené úsilí. V takovém případě však musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení.
Rozhodným prvkem může být i okolnost, zdali došlo k porušení zabezpečení úmyslně či nedbalostně, přičemž úmyslný čin výrazně zvyšuje riziko takového činu, jelikož osobní údaje byly terčem útoku. Porušení zabezpečení se tak musí provést komplexně, nikoli izolovaně a vyšlé riziko následně určí eventuální povinnost oznámit porušení zabezpečení Úřadu pro ochranu osobních údajů nebo i oznámit subjektu údajů.
Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či dostatečně silné šifrování a zdali nedošlo i ke kompromitaci šifrovacího klíče.
Platí zásada, že volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
1.9. Závazná podniková pravidla
Závazná podniková pravidla je koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazen na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost. Jde tak o pravidla platící uvnitř správců, tvořících skupinu podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.
1.10. Náhrada škod
Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy, kterou dále vede správce či zpracovatel.
2.1 Určení správce a zpracovatele
Správcem osobních údajů je:
Jan De Leonekontaktovat správce
Zpracovatelem osobních údajů je:
Jan De Leone
2.2. Technická a elektronická zabezpečení správců
2.2.1. Operační systém Windows 10
2.3. Zpracování osobních údajů správci2.2.2. Microsoft Office 365
2.2.3. Aktualizovaný systém antivirové ochrany Windows Defender Antivirus
2.2.4. Privátní síť je zabezpečena branou Firewall
2.2.5. Přístup do operačního systému je chráněn certifikovaným snímačem otisku prstů a šifrovaným heslem.
Osobní údaje, uvedené v definici 1.2. jsou zpracovávány pouze pro účely prodeje zboží, objednání služeb a zasílání elektronických zpráv s možností výmazu dle části 1.5., za pomocí webového rozhraní stránek podporaukrajiny.cz (dále jen webové stránky). Údaje ve zvláštní kategorii (citlivé údaje) nejsou předmětem zpracování osobních údajů ze strany správce.
2.4. Zabezpečení webových stránek
Stránky jsou opatřeny bezpečnostním certifikátem DV SSL - Https (Https - Hypertext Transfer Protocol Secure je v informatice protokol umožňující zabezpečenou komunikaci). Je tak zaručeno šifrování při přenosu v datových sítí.
2.5. Zabezpečení komunikace
2.5. Zabezpečení komunikace
Zprávy, obsahující jakékoliv informace, vč. osobních údajů, uvedených v definici 1.2. jsou ihned po odeslání šifrovány systémem SSL a odeslány prostřednictvím webových stránek, přímo ke správci.
2.6. Technická zabezpečení správců
Fyzické doklady, obsahující osobní údaje, jsou skladovány pouze po dobu ode dne objednání subjektem, do doby odeslání subjektu - fyzickému předání zpracovateli, v zabezpečeném režimu kanceláří - certifikovaný systém bezpečnostních zámků, bezpečnostní alarm.
2.6. Technická zabezpečení správců
Fyzické doklady, obsahující osobní údaje, jsou skladovány pouze po dobu ode dne objednání subjektem, do doby odeslání subjektu - fyzickému předání zpracovateli, v zabezpečeném režimu kanceláří - certifikovaný systém bezpečnostních zámků, bezpečnostní alarm.
V případě neuhrazení objednávky / odstoupení od kupní smlouvy jsou fyzické dokumenty skartovány skartovacím přístrojem v režimu skartace 0,3 x 0,5 cm.
V případě reklamace jsou fyzické doklady, obsahující osobní údaje, skladovány do doby vyrovnání, respektive do doby opětovného dodání zboží, či připsání vrácené částky na účet, subjektu. Poté jsou fyzické dokumenty skartovány skartovacím přístrojem v režimu skartace 0,3 x 0,5 cm.
Nejsme firmou působící na území České republiky, nemáme povinnost ukládat fyzické dokumenty s osobními údaji klientů či zákazníků. Archiv, obsahující osobní údaje, je evidován pouze elektronicky, po dobu 3 let od počátku vzájemné komunikace.
3.1. Právo na výmaz (být zapomenut)
O výmaz lze zažádat ZDE
Za správnost údajů o správcích, zpracovatelích, technickém zabezpečení správců a správnost vypracování GDPR ručí:
Hana Stibůrková
29.5.2023, V Limassol, Cyprus