Svět podle GDPR

Učitel žákovi do ucha diskrétně šeptá: „Máš za pět,“, zdravotní sestra v čekárně rozdává čísla, pouhým zvoláním „další“ nemůže vyřešit nástup pacientů do ordinace, protože lékař potřebuje některé pacienty vyšetřit přednostně a jménem je už nemůže zavolat. 25. května 2018 totiž nastala účinnost nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) známého pod zkratkou GDPR. I takto by si někdo mohl vysvětlovat povinnosti spojené s GDPR v praxi.

K používání zdravého selského rozumu nabádá JUDr. Jan Kolouch, Ph.D. ze sdružení Cesnet, lektor semináře na tuto problematiku, na jehož základě uvádíme následující informace.

„70 procent osob do 18 let je online, 25 miliard zařízení (chytré telefony apod.) sbírá osobní údaje, otiskem prstu někde evidují pracovní dobu. Chceme chránit své osobní údaje a na druhou stranu sami o sobě hodně zveřejňujeme v rámci sociálních sítí,“ upozorňuje Jan Kolouch na paradox charakterizující moderní dobu.

Ochrana osobních údajů se řeší také v rámci národních předpisů členských zemí, u nás například občanským zákoníkem, který hovoří o tom, že zachytit jakýmkoli způsobem podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné jen s jeho svolením. Podle § 88 občanského zákoníku svolení není třeba, pokud se podobizna nebo zvukový či obrazový záznam pořídí nebo použije k výkonu nebo ochraně jiných práv nebo právem chráněných zájmů jiných osob. Svolení není třeba ani v případě, když se podobizna, písemnost osobní povahy nebo zvukový či obrazový záznam pořídí nebo použijí na základě zákona k úřednímu účelu nebo v případě, že někdo veřejně vystoupí v záležitosti veřejného zájmu. Dále se může bez svolení člověka také pořídit nebo použít přiměřeným způsobem též k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství.

GDPR má za cíl komplexní úpravu ochrany osobních údajů, jednotný právní rámec a výklad. Některá ustanovení ale umožňují rozdílnou interpretaci členských států. Bohužel u nás zatím nebyl přijat adaptační zákon, který by měl upravit národní legislativu.

Podle GDPR jsou osobním údajem veškeré informace o fyzické osobě (vztahuje se i na OSVČ), tzv. subjektu údajů; osobním údajem je například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo zvláštní prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Do zvláštní kategorie osobních údajů, které je až na výjimku výslovného souhlasu subjektu údajů zakázáno zpracovávat, patří údaj o rasovém či etnickém původu, vyznání, politických názorech, členství v odborech či jiných organizacích, sexuální orientaci, spáchání deliktů a potrestání za ně, genetické údaje, biometrické údaje, údaje o zdravotním stavu. Ochrana osobních údajů se nevztahuje na osobní údaje zesnulých.

Jisté je, že zpracovávat osobní údaje lze za určitým účelem, který musí správce, popřípadě zpracovatel (zpracovává data jménem správce) definovat. Správce (mohou být správci nižší a vyšší, několik správců nad sebou) musí prokázat existenci alespoň jednoho důvodu, proč zpracovává údaje, stanovit záruky na ochranu osobních údajů, prokázat technické a organizační zabezpečení osobních údajů. Doba, po kterou se údaje sbírají, by neměla být delší, než je nezbytně nutné.

Až na výjimky subjekt musí souhlasit se zpracováním osobních údajů. Souhlas - svobodné vyjádření vůle subjektu údajů – je konkrétní, informovaný (subjekt zná totožnost správce a účely zpracování), jednoznačný, odvolatelný, měl by platit pouze po určitou dobu, maximální délka souhlasu není zatím nikde uvedena. Souhlas může být udělen například v podobě zaškrtnutí políčka při návštěvě internetové stránky nebo volby technického nastavení pro služby informační společnosti. Za dítě mladší 16 let uděluje souhlas jeho zákonný zástupce. V návrhu našeho adaptačního zákona se uvádí, že dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením 15. roku věku.

Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v případě, kdy zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí), u rozsáhlého, pravidelného a systematického monitorování subjektu údajů, rozsáhlého zpracování citlivých dat. Pověřenec poskytuje informace a poradenství správcům, zpracovatelům nebo zaměstnancům, monitoruje soulad s GDPR, spolupracuje s dozorovým úřadem.

Subjekt má právo být informován o zpracování, má právo na opravu, výmaz, omezení, přenesení údajů, právo být zapomenut. Právě kvůli právu být zapomenut to pravděpodobně celé začalo. Když si Mario Costeja González ze Španělska v roce 2010 místnímu úřadu na ochranu osobních údajů postěžoval, že mu ve výsledcích hledání v Googlu vybíhá po zadání svého jména odkaz na novinové články z r. 1998, kde se psalo o dražbě jeho majetku kvůli dluhům na sociálním pojištění.

Závěr semináře patřil dotazům účastníků. Zde jsou některé odpovědi v bodech:

• hromadné emaily posílat ve skryté kopii;
• e-mail, telefon osoby pouze pro osobní potřebu jiné osoby lze předat, pro firmu nikoliv;
• hodnocení žáka známkou lze říci nahlas, ale například podepsaná písemná práce je osobní údaj;
• v případě školy lze napsat na 1 list papíru souhlas s určitými aktivitami školy - s účastí dítěte na kroužku, vkládání fotografií na webové stránky školy, do výroční zprávy apod., po určitou dobu, například po dobu studia žáka, a pravidelně provádět aktualizace;
• v případě, že amatérský fotograf na svých webových stránkách prezentuje výtvory s cizími osobami, lze je použít bez jejich souhlasu (umělecká činnost).

Jan Kolouch doporučuje sledovat webové stránky Úřadu na ochranu osobních údajů, „zůstat při zemi a nezbláznit se z toho".