Nová evropská úprava ochrany osobních údajů: zásady zpracování osobních údajů

Nové evropské nařízení o ochraně osobních údajů (GDPR) vstoupí v účinnost od 25. května 2018 ve všech státech Evropské unie a bude se vztahovat na všechny subjekty (tj. z celého světa), které jsou aktivní na evropském trhu. Nařízení zaručuje občanům Evropské unie vyšší úroveň ochrany jejich osobních údajů. Zásady, jimž musí odpovídat jakékoli zpracování osobních údajů, se nacházejí v článku 5 odst. 1 a 2 GDPR a jsou následující.

 

Zákonnost, korektnost a transparentnost

Zpracování osobních údajů musí být prováděno na základě právního důvodu. Osobní údaje musí být zpracovávány v dobré víře a zároveň otevřeně podle rozumného očekávání dotčeného subjektu údajů. Informace ohledně zpracování osobních údajů musí být poskytnuty jednoznačnou, transparentní srozumitelnou a přístupnou formou, jakož i jednoduchou a jasnou řečí.

 

Účelové omezení

Osobní údaje mohou být získávány pouze pro jasně stanovené, jednoznačné a legitimní účely. Další zpracování osobních údajů k účelu, který nebyl sjednán, je nepřípustné. Posouzení zájmu, které bude nezbytné provést se zohledněním účelového omezení, bude považováno za stěžejní podstatu souhlasu se zpracováním osobních údajů. Z tohoto důvodu bude muset být pro každý jednotlivý případ zpracování osobních údajů přesně stanoven jeho konkrétní účel.

 

Minimalizace údajů

Získávání a zpracování musí být omezeno jen na ty osobní údaje, které jsou relevantní a nezbytné k naplnění stanoveného účelu.

 

Přesnost

Zpracovatelé budou muset být schopni doložit, že osobní údaje jsou věcně správné a aktuální. Nesprávné údaje budou proto muset být okamžitě vymazány nebo opraveny. Zpracovatelé budou muset provádět z vlastní iniciativy pravidelné „aktualizační kontroly“ osobních údajů.

 

Omezení uložení

Uložení osobních údajů ve formě umožňující identifikaci je zásadně časově omezeno na dobu, jež je nezbytná pro dosažení účelu zpracování. Zároveň bude nezbytné dodržet zákonem stanovené lhůty uložení. Zpracovatelé budou povinni rovněž zkoumat, zda není zapotřebí provést pseudonymizaci nebo anonymizaci osobních údajů. Po pseudonymizaci nebude možné bez znalosti dalších informací, spojit osobní údaje s konkrétní fyzickou osobou. Za tímto účelem musí zpracovatelé přijmout příslušná, zejména technická a organizační opatření.

 

Integrita a důvěrnost

V budoucnosti budou muset být přijata opatření k zamezení neoprávněného a nezákonného zpracování osobních údajů, jakož i k jejich neúmyslné ztrátě nebo zničení, popř. znehodnocení. Nezbytná preventivní opatření budou především spočívat v oblasti organizační a IT, např. omezením přístupu k osobním údajům pomocí přístupových hesel, šifrováním apod. Za tímto účelem budou muset být dodržovány zejména články 32 (Bezpečnost zpracování) a 35 (Posouzení vlivu na ochranu osobních údajů). Pokud dojde k porušení zabezpečení osobních údajů ve spojení s rizikem pro práva a svobody fyzických osob, bude nezbytné tuto skutečnost ve smyslu článku 33 nahlásit Úřadu pro ochranu osobních údajů. Případně – pokud bude riziko vysoké – bude muset být informován přímo dotčený subjekt údajů.

 

Odpovědnost

Podle zásady odpovědnosti (článek 5 odst. 2) budou zpracovatelé osobních údajů povinni prokázat, že dodržují veškeré výše uvedené zásady.

 

Kolegové z našich poboček Vám budou kdykoli rádi k dispozici a zodpoví Vám veškeré případné další dotazy.