Co jsou osobní údaje?
Osobními údaji jsou veškeré informace, které se týkají identifikované nebo identifikovatelné fyzické osoby.
Příklady informací, které mohou umožnit přímou nebo nepřímou identifikaci fyzické osoby a lze je tedy považovat za osobní údaje, jsou:
- jméno, příjmení, telefonní čísla - klientů, a zúčastněných stran, zaměstnanců, poskytovatelů
- identifikační čísla, jako je číslo klienta, jednotlivce, číslo zaměstnance
- referenční číslo rezervace
- e-mailové adresy, údaje o poloze
- historie prohlížení stránek jednotlivcem
- historie nákupů a stvrzenky fyzické osoby
- fotografie, videa a zvukové nahrávky obsahující obrázky nebo zvuky jednotlivců
S těmito osobními údaji může být fyzická osoba přímo či nepřímo identifikována:
- pokud vaše organizace zpracovává například jméno nebo příjmení fyzické osoby a tyty údaje umožňují přímou identifikaci konkrétní fyzické osoby
- pokud vaše organizace zpracovává například klientské číslo fyzické osoby nebo číslo rezervace a tyto osobní údaje mohou umožnit nepřímou identifikaci fyzické osoby
- jakýkoli druh informací zpracovávaných ve vztahu k přímo či nepřímo identifikované fyzické osobě (tj. preference, zvyky apod.) bude rovněž považován za osobní údaje.
Přečtěte si více
Zvláštní kategorie osobních údajů
Některé typy osobních údajů, obvykle označované jako citlivé údaje, patří do zvláštních kategorií, které si zaslouží vyšší míru ochrany. Podle článku 9 GDPR jsou údaje ‚zvláštní kategorie‘ takové, které obsahují informace o:
- zdraví jednotlivce;
- sexuální život nebo sexuální orientace jednotlivce;
- rasový nebo etnický původ jednotlivce;
- politické názory, náboženské nebo filozofické přesvědčení jednotlivce;
- biometrické a genetické údaje jednotlivce;
- členství v odborech
Zpracování citlivých údajů fyzické osoby je obecně zakázáno, s výjimkou zvláštních okolností, které odůvodňují jejich zpracování (např. výslovný souhlas).
Pro více podrobností o okolnostech, za kterých mohou být citlivé údaje zpracovány, zkontrolujte Zpracování osobních údajů zákonným způsobem.
Osobní údaje týkající se rozsudků v trestních věcech a trestných činů
Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů podléhá přísným právním podmínkám. Tyto osobní údaje mohou být zpracovány pouze orgánem veřejné moci, jako je policie, pod dohledem orgánu veřejné moci nebo pokud je to povoleno vnitrostátním právem.
Seznam osvědčených postupů podle GDPR
- Zeptejte se sami sebe, zda je účel, pro který mohou být osobní údaje shromažďovány, oprávněný.
- Shromažďovat lze pouze osobní údaje, které jsou nezbytné pro konkrétní předpokládaný účel (případně účely).
- Informovat fyzické osoby (subjekty údajů) o tom, jak a pro jaké účely mohou být jejich osobní údaje zpracovávány.
- Ověřte si, zda máte vhodný právní základ pro zpracování osobních údajů. V případě, že se hodláte spolehnout na souhlas fyzických osob, požádejte je o souhlas před zpracováním jejich osobních údajů.
- Zajistit, aby se s osobními údaji fyzických osob nakládalo bezpečným způsobem.
- Udržovat osobní údaje jednotlivců přesné a aktuální.
- Vymažte osobní údaje fyzických osob, pokud již nejsou potřebné. Mějte prosím na paměti, že vnitrostátní právní předpisy vám mohou ukládat povinnost uchovávat určité údaje (např. z daňových důvodů).
Co znamená zpracování osobních údajů?
Zpracování osobních údajů fyzických osob zahrnuje jakýkoli druh činnosti (operace zpracování), která je prováděna pomocí či bez pomoci automatizovaných postupů s osobními údaji fyzických osob.
Příklady operací zpracování zahrnují shromažďování, zaznamenávání, organizaci, používání, úpravu, uchovávání a zveřejňování osobních údajů fyzických osob.
I když se obecné nařízení o ochraně osobních údajů týká především automatizovaného zpracování osobních údajů, operace zpracování prováděné ručně budou rovněž podléhat obecnému nařízení o ochraně osobních údajů od okamžiku systematického uspořádání papírových spisů, např. abecedně uspořádaných v kartotéce.
Přečtěte si více
Vztahuje se nařízení GDPR na vaši organizaci?
Obecné nařízení o ochraně osobních údajů se může vztahovat na všechny soukromé a veřejné organizace, pokud:
- dotyčná organizace je usazena v EU nebo v Evropském hospodářském prostoru (EHP = země EU + Island, Lichtenštejnsko a Norsko); nebo
- organizace není usazena v EHP, ale její produkty nebo služby jsou nabízeny fyzickým osobám, které se nacházejí v EHP, nebo organizace sleduje chování fyzických osob, které se nacházejí v EHP.
Obecné nařízení o ochraně osobních údajů se stejným způsobem vztahuje i na všechny subdodavatele, kteří mohou zpracovávat osobní údaje fyzických osob jménem soukromé nebo veřejné organizace.
V praxi se na vás GDPR vztahuje, pokud platí jedna z následujících podmínek:
- jste společnost se sídlem v zemi EHP;
- jste organizace se sídlem v zemi mimo EHP, která prodává zboží nebo nabízí služby, a to i zdarma, zaměřené na jednotlivce v zemi EHP;
- jste IT společnost se sídlem v zemi mimo EHP, kterou za účelem správy svých IT databází, jako je databáze klienta, zadala soukromá organizace se sídlem v EHP subdodavatelům;
- Jste poskytovatelem služeb se sídlem v EHP a zpracováváte osobní údaje jménem jiné společnosti.
Hlavní zásady GDPR
Při zpracování osobních údajů fyzických osob musí vaše organizace dodržovat následujících šest klíčových zásad obecného nařízení o ochraně osobních údajů. Kromě toho musí být vaše organizace schopna prokázat, že tyto zásady dodržuje.
Zákonnost, spravedlnost a transparentnost
Jakékoli zpracování osobních údajů musí být zákonné, korektní a transparentní.
Vaše organizace může zpracovávat osobní údaje fyzické osoby pouze tehdy, je-li plánovaná operace zpracování zákonná; tedy na základě souhlasu fyzické osoby, který je nezbytný pro plnění smlouvy, nebo na základě jednoho z dalších právních základů pro zpracování údajů uvedených v článku 6 obecného nařízení o ochraně osobních údajů (GDPR).
Pokud je zpracování založeno na souhlasu, musí vaše organizace zajistit, aby byl tento souhlas svobodný, informovaný, konkrétní a jednoznačný. Jinými slovy, nesmí být pochyb o tom, že fyzické osoby si jsou vědomy toho, s čím souhlasí, pro jaké účely se zpracování provádí, a že tento souhlas byl aktivně udělen před zahájením zpracování. Jednotlivci by navíc měli mít možnost svůj souhlas kdykoliv svobodně odvolat. Pokud si uvědomíte, že zpracování jejich údajů bude přesto nezbytné (tj. v rámci smlouvy), znamená to, že souhlas není vhodným právním základem.
Omezení účelu
Vaše organizace může shromažďovat osobní údaje pouze pro stanovené, výslovně vyjádřené a legitimní účely. Zpracování údajů fyzické osoby musí být přísně omezeno na původně stanovený účel (účely), a proto nesmí být zpracováno pro následné nebo jiné účely, které jsou neslučitelné s původními účely.
Minimalizace údajů
Vaše organizace může zpracovávat pouze takové osobní údaje, které jsou nezbytné a přiměřené s ohledem na zamýšlený účel zpracování.
Přesnost
Osobní údaje fyzických osob, které vaše organizace zpracovává, musí být přesné a aktualizované. Nepřesné osobní údaje musí být opraveny nebo vymazány.
Omezení uchování
Uchovávání osobních údajů fyzických osob musí být časově omezeno, a to s ohledem na účel, pro který byly tyto údaje shromážděny a zpracovány. Osobní údaje fyzických osob proto musí být vymazány nebo anonymizovány, jakmile tyto údaje už nejsou potřebné. V praxi to znamená, že vaše organizace by měla mít zavedenu interní politiku týkající se doby uchovávání údajů pro různé účely, jakož i postup pro výmaz údajů.
Bezpečnost
Zpracování údajů fyzických osob musí být prováděno bezpečným způsobem. V tomto smyslu musí být zavedeny spolehlivé záruky ochrany údajů, jako jsou vhodná opatření v oblasti kybernetické bezpečnosti, aby byla zajištěna odpovídající ochrana údajů jednotlivců. Tato opatření musí zabránit náhodnému, neoprávněnému nebo protiprávnímu zveřejnění, ztrátě, zničení nebo poškození osobních údajů jednotlivců.
Přečtěte si více
Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects
EDPB