GDPR - základní informace

Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.

V souladu s tím dále Obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování  a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.

Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.

GDPR - Středočeský kraj

Středočeský kraj vnímá nová pravidla ochrany osobních údajů jako prioritu a podniká systémové kroky k naplnění souladu uvnitř Krajského úřadu Středočeského kraje. Ve vztahu k subjektům, jejichž je zřizovatelem a obcím Středočeského kraje, hodlá prostřednictvím úřadu zaujmou pozici metodického rádce, který bude monitorovat činnost týkající se zpracování osobních údajů v konkrétních odvětvích, vyhodnocovat je a vydávat metodické doporučení.

Pověřenec pro ochranu údajů Krajského úřadu Středočeského kraje

Krajský úřad Středočeského kraje jmenoval svého pověřence pro ochranu osobních údajů. Tato osoba je stálým zaměstnancem úřadu. Pověřenec dohlíží, radí a poskytuje metodickou pomoc ohledně skutečností spojených s ochranou osobních údajů pouze pro potřeby Krajského úřadu. Ve vztahu k příspěvkovým organizacím není nijak odpovědný. Příspěvkové organizace jeho osoba dále nijak nevyvazuje z toho, že soulad s nařízením GDPR a případné zřízení osoby „pověřence" si musí zajistit a nastavit ve své působnosti.

Práva subjektů údajů

Proč má subjekt údajů práva?

Obecné nařízení, ostatně tak jako i zákon č. 110/2019 Sb., o zpracování osobních údajů, přiznává subjektům údajů práva. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů. Jsou základním pilířem modelu ochrany osobních údajů v evropském prostoru. Nutno podotknout, že obecné nařízení posiluje systém práv subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost.

Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?

Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Jaká jsou práva subjektu údajů?

Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.

Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 zákona č. 101/2000 Sb., o ochraně osobních údajů.

Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě (žádosti) subjektu údajů, patří:

  • právo na přístup k osobním údajům, 
  • právo na opravu, resp. doplnění, 
  • právo na výmaz, 
  • právo na omezení zpracování, 
  • právo na přenositelnost údajů, 
  • právo vznést námitku,
  • právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Podání žádosti pro uplatňování práva subjektu údajů dle GDPR

Vyřízení žádosti se neřídí ustanoveními zákona č. 500/2004 Sb., správní řád a zároveň se neřídí ustanoveními zákona č.106/1999 Sb., o svobodném přístupu k informacím.

Žádost musí být písemná a musí být pod ní uvedeno jméno, příjmení a bydliště toho, kdo ji podává. Žádost o poskytnutí osobních údajů může podat pouze fyzická osoba, které se předmětná žádost týká. Před zpracováním žádosti ma Středočeský kraj právo a povinnost ověřit identitu žadatele.

Podacím místem pro písemné a elektronické žádosti je podatelna Krajského úřadů Středočeského kraje (Zborovská 81/11, Praha 5, 150 00, datová schránka: keebyyf). Žádost musí být čitelná, srozumitelná a musí obsahovat jednoznačný popis předmětu žádosti. Fyzická osoba uvede v žádosti jméno, příjmení, datum narození, podpis a místo trvalého pobytu, popřípadě jinou adresu pro doručování.

Žádost podaná jinou formou než dle výše uvedeného nebude zpracována. 

Anonymní žádost (tj. žádost, která neobsahuje dostatek potřebných údajů k identifikaci žadatele) zašle vyřizující útvar do centrální evidence a dále ji nevyřizuje.

Lhůty pro vyřízení žádostí, formu pro poskytnutí informací a přijetí opatření upravuje čl. 12 Obecného nařízení. Pokud správce poskytne informace na žádost dle čl. 15 až 22, poskytuje je bez zbytečného odkladu, nejdéle do 1 měsíce od obdržení žádosti. Lhůtu je prodloužit až o 2 měsíce (v případě potřeby a s ohledem na složitost a počet žádostí), ale subjekt údajů musí být nejdéle do 1 měsíce od obdržení žádosti informován o prodloužení lhůty vyřízení, a to spolu s důvody pro odklad.

 

Kontakt na pověřence pro ochranu osobních údajů

Bc. Petr Staněk
email: poverenec.ou@kr-s.cz