dnes je 20.1.2019
Input:

Zpracování osobních údajů - role pověřence

17.4.2018, , Zdroj: Verlag Dashöfer

14.310
Zpracování osobních údajů – role pověřence

Ing. Růžena Klímová

Jednou z významných novinek, kterou přináší do českého právního řádu GDPR, je role tzv. pověřence pro ochranu osobních údajů. Pověřenec pro ochranu osobních údajů má plnit funkci pomocníka či koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň funkci kontaktního bodu pro jeho komunikaci s dozorovými úřady (v ČR s Úřadem pro ochranu osobních údajů).

Pracovní skupina WP29 vydala výkladová stanoviska k některým významným otázkám nařízení GDPR; jedno z nich se podrobněji zabývá právě pověřencem pro ochranu osobních údajů.

Jmenování pověřence pro ochranu osobních údajů

Povinné jmenování pověřence předepisuje nařízení GDPR v článku 37 pro následující případy:

  1. zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt (nehledě na to, jaké kategorie osobních údajů a v jaké míře zpracovává);
  2. hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo vyžaduje-li tak právo Evropské unie nebo členského státu.

Ad a) Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom veřejným orgánem nebo subjektem, ale také jinými fyzickými nebo právnickými osobami řídícími se veřejným nebo soukromým právem v oblastech specifikovaných národními předpisy členských států, jako je veřejná doprava, zásobování vodou a energiemi, silniční infrastruktura, veřejnoprávní vysílání, veřejné bydlení nebo disciplinární orgány pro vázané profese.

Ad b) „Hlavní činnosti” by však neměly být interpretovány způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele. Například hlavní činnost nemocnice je poskytovat zdravotní péči. Nemocnice však nemůže poskytovat zdravotní péči bezpečně a účinně bez zpracování zdravotních dat, jako jsou zdravotní záznamy o pacientovi. Zpracování těchto údajů by tedy mělo být považováno za jednu z hlavních činností a nemocnice proto musí jmenovat pověřence. Jiným příkladem je soukromá bezpečnostní agentura vykonávající dohled v určitém počtu soukromých nákupních center a veřejných míst. Hlídání je hlavní činností firmy, je ovšem neoddělitelně spjato se zpracováním osobních údajů. Tato agentura musí proto jmenovat pověřence.

Na druhé straně, všechny organizace provádějí určité činnosti, například vyplácení zaměstnanců nebo poskytování standardní podpory informační a komunikační techniky. Jde o činnosti nezbytně podporující hlavní činnost nebo podnikání organizace. I když jsou tyto aktivity nutné nebo důležité, jsou vnímány spíše jako pomocné funkce než hlavní činnost.

Podle článku 37 musí být zpracování osobních údajů prováděno ve velkém rozsahu, aby to vyvolalo povinnost jmenovat pověřence. Obecné nařízení nedefinuje, v čem rozsáhlost spočívá. Není vyloučeno, že se během času vyvine standardní praxe, jak objektivně a kvantitativně vyjádřit výraz „rozsáhlý” ve vztahu k určitým typům obvyklých činností zpracování.

Příklady rozsáhlého zpracování:

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice,

  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky),

  • zpracování údajů o aktuální zeměpisné poloze zákazníků mezinárodních řetězců rychlého občerstvení pro statistické účely zpracovatelem zaměřeným na tuto činnost,

  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky,

  • zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy,

  • zpracování dat (o obsahu, provozních, lokalizačních) poskytovatelem telefonních a internetových služeb.

Příklady zpracování, která nejsou rozsáhlá:

  • zpracování údajů o pacientech jednotlivým lékařem,

  • zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem.

Pravidelné a systematické monitorování

Pojem pravidelného a systematického monitorování subjektů údajů není v Nařízení definován. Aby některá činnost byla považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného profilování.

Uveďme některé příklady pravidelného a systematického monitorování:

  • provozování telekomunikační sítě;

  • poskytování telekomunikačních služeb;

  • cílení internetové reklamy pomocí e-mailu, profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz);

  • sledování polohy, například u mobilních aplikací;

  • věrnostní programy;

  • sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení;

  • kamerové systémy;

  • propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy atd.

Pravidelné a systematické je definováno podle činnosti, nikoliv podle použitých prostředků.

Upozornění: Kamerový systém u zaměstnavatele není důvodem pro povinnost jmenovat pověřence. Aby tato povinnost vznikla, muselo by se jednat o hlavní činnost správce nebo zpracovatele spočívajících v operacích zpracování, které by kvůli své povaze vyžadovaly pravidelné a systematické monitorování subjektů údajů. Taková povinnost by se týkala bezpečnostních agentur, které provozují kamerové systémy, např. v obchodních centrech.

Jmenování pověřence by tak nemělo být pro správce povinné v případě zpracování osobních údajů, které je prováděno pouze jako pomocná činnost k dosažení základních cílů činnosti správce. Pracovní skupina WP29 výslovně uvádí, že společnosti běžně provádějí různé podpůrné činnosti (jako například vedení evidence za účelem vyplácení mezd zaměstnancům), které jsou nezbytné k zajištění hlavní činnosti společnosti. Tyto činnosti však nelze ve většině případů považovat za hlavní činnost správce. Na druhou stranu v případech, kdy zpracování osobních údajů je neodmyslitelnou součástí činnosti správce nebo zpracovatele, mělo by být považováno za hlavní činnost – jako příklad se uvádí zpracování zdravotních údajů pacientů jako jednu z hlavních činností nemocnice (nikoliv však zpracování osobních údajů jednotlivým lékařem), zpracování osobních údajů zákazníků pojišťovnou nebo bankou či zpracování osobních údajů za účelem personalizování obsahu a cílení reklamy na základě chování při používání vyhledávacích nástrojů.

Povinnost ustavit funkci pověřence pro ochranu osobních údajů, jmenovat jej a vybavit

.
  1. Smlouva o poskytnutí užívacích práv k On-line produktu (dále také jen   "smlouva") se uzavírá na dobu určitou, a to na dobu předplatného uvedenou v objednávce a ve faktuře. 
  2. Dojde-li k objednání On-line produktu nakladatelství přes internet, vzniká smlouva mezi objednatelem a nakladatelstvím okamžikem odeslání objednávky učiněné v internetovém obchodu nakladatelství. Podmínkou odeslání objednávky je odsouhlasení těchto všeobecných obchodních podmínek pro On-line produkty (dále také "VOP-O"), které se tak stávají právně závazné pro obě smluvní strany. 
  3. V případě objednání On-line produktu jakýmkoli jiným způsobem vzniká smlouva mezi objednatelem a nakladatelstvím zaplacením zálohové faktury. Úhradou zálohové faktury se stávají VOP-O právně závaznými pro obě smluvní strany. 
  4. Ke vzniku smlouvy mezi nakladatelstvím a objednatelem dojde vždy s výhradou ztráty schopnosti nakladatelství smlouvu plnit. 
  5. Objednateli vzniká právo užívat On-line produkt po uzavření smlouvy, zaplacení ceny (předplatného) On-line produktu  a aktivaci přístupu objednatele do On-line produktu provedené nakladatelstvím.
    O aktivaci přístupu do On-line produktu je objednatel nakladatelstvím informován emailem a současně jsou mu zaslány pokyny k přihlášení do On-line produktu. Rozhodne-li se objednatel svého práva na užívání On-line produktu nevyužít, nemá tato skutečnost vliv na platnost smlouvy a povinnost objednatele platit cenu On-line produktu (předplatné). 
  6. Smlouva se vždy automaticky prodlužuje o další předplatné období, jehož délka je shodná s délkou předcházejícího  předplatného období, nedoručí-li nejpozději 6 týdnů před uplynutím předplaceného období uvedeného na faktuře jakákoli ze smluvních stran druhé smluvní straně emailem nebo dopisem učiněné oznámení, že o automatické prodloužení předplatného nemá zájem. V případě jednoměsíčního předplatného se šestitýdenní lhůta pro doručení oznámení zkracuje na 15 dní a ust. čl. 8 VOP-O se nepoužije. Obě smluvní strany s automatickým prodlužováním smlouvy výslovně souhlasí. Objednatel je povinen platit nakladatelství předplatné navýšené o DPH po celou dobu platnosti smlouvy. 
  7.  Nakladatelství je s ohledem na nárůst průměrného indexu spotřebitelským cen oprávněno zvýšit jednou ročně ceny předplatného na další předplatné období, maximálně však vždy o 3 % z  ceny předplatného předcházejícího předplatného období. 
  8. Nakladatelství odešle objednateli zálohovou fakturu na další předplatné období vždy nejpozději 4 týdny před koncem stávajícího předplaceného období. 
  9. Dojde-li ze strany objednatele k prodlení se zaplacením ceny předplatného, je nakladatelství oprávněno požadovat od objednatele zaplacení nákladů spojených s vymáháním každé pohledávky ve výši 1200 Kč v souladu s nařízením vlády č. 351/2013 Sb. 
  10. Objednatel je povinen nakladatelství bez zbytečného odkladu oznámit jakékoli změny údajů, které  uvedl při uskutečnění objednávky. 
  11. On-line produkt podléhá autorskoprávní ochraně. On-line produkt nesmí být objednatelem ani nikým jiným bez předchozího souhlasu nakladatelství jakkoli rozmnožován, rozšiřován, pronajímán, propachtován, vystavován či půjčován třetím osobám a jeho obsah nesmí být sdělován v jakékoli formě veřejnosti. 
  12. Právo užívat On-line produkt je nepřenosné. Není-li mezi stranami smlouvy ujednáno jinak (multilicenční ujednání obsažené ve faktuře), má právo užívat On-line produkt
    a) v případě objednatelů - fyzických osob pouze tato jedna fyzická osoba a b) v případě objednatelů - právnických osob pouze jedna fyzická osoba u objednatele. 
  13. Poruší-li objednatel toto podlicenční ujednání nebo poruší-li jinou svou zákonnou či smluvní povinnost podstatným způsobem, je nakladatelství oprávněno od smlouvy s    okamžitým účinkem odstoupit a zrušit přístup objednatele k On-line produktu formou deaktivace přístupu nebo přístupového jména a hesla objednatele. 
  14. Nakladatelství nenese jakoukoli odpovědnost za správnost či úplnost obsahu On-line produktu a za případnou škodu či nemajetkovou újmu způsobenou přímo či nepřímo užitím obsahu On-line produktu. Ustanovení § 2950 zákona č. 89/2012 Sb., občanský zákoník, se na odpovědnost nakladatelství neuplatní. 
  15. Nakladatelství odpovídá za to, že dostupnost On-line produktu nebude v průměru měsíčně nižší než 90%. Tato odpovědnost se však nevztahuje na kvalitu internetového připojení poskytovaného objednateli třetími osobami. Objednatel má právo odstoupit od smlouvy s účinky do budoucna, bude-li alespoň dva po sobě následující měsíce dostupnost On-line produktu nižší než 90 %. 
  16. V případě potřeby (oznámení, reklamace, stížnosti atp.) může objednatel kontaktovat nakladatelství na emailové adrese info@dashofer.cz nebo prostřednictvím kontaktů uvedených na www.dashofer.cz.  
  17. Není-li uvedeno jinak, mohou být veškerá oznámení adresovaná objednateli nakladatelstvím činěna ve formě elektronické zprávy adresované na emailovou adresu objednatele. Nakladatelství je dále oprávněno zasílat zálohové faktury a daňové doklady objednateli elektronicky, případně poštou. 
  18. Není-li v objednávce výslovně uvedeno jinak, má se za to, že objednatel je podnikatel a objednávku činí v souvislosti se svou podnikatelskou činností. V těchto případech se na právní vztah mezi objednatelem a nakladatelstvím neuplatní ustanovení § 1799 a § 1800 zákona č. 89/2012 Sb., občanský zákoník. Zákonná práva objednatelů - spotřebitelů nejsou tímto ustanovením dotčena. 
  19. Případné soudní spory vyplývající z právních vztahů mezi objednatelem a nakladatelstvím  bude rozhodovat obecný soud místně příslušný podle sídla nakladatelství. 
  20. Tyto všeobecné obchodní podmínky pro On-line produkty tvoří nedílnou součást smlouvy. Nakladatelství je oprávněno v případě potřeby tyto VOP-O jednostranně změnit. O takovéto změně bude objednatel vždy s dostatečným časovým předstihem písemně, elektronicky emailem anebo na internetových stránkách nakladatelství informován a bude mít možnost změnu VOP-O odmítnout a smlouvu z tohoto důvodu ukončit. 
  21. V případě rozporu mezi ustanovením smlouvy a těmito VOP-O má příslušné ustanovení smlouvy před VOP-O přednost . 
  22. Společnost Verlag Dashöfer, nakladatelství,spol.s r.o. se sídlem Praha 6 - Vokovice, Evropská 423/178, PSČ 160 00, IČ: 45245681, je zapsána u Městského soudu v Praze, oddíl C, vložka 7702.


Tyto obchodní podmínky si můžete vytisknout kliknutím na následující odkaz:
http://www.dashofer.cz/vop/online/vop-online.pdf.

.

Ochrana osobních údajů a jejich používání

Ochrana soukromí je záležitostí  důvěry a vaše důvěra je pro nás důležitá. Respektujeme vaše soukromí a při zpracování vašich osobních údajů dodržujeme zákonná právní předpisy týkající se ochrany osobních údajů, zejména tzv. GDPR (nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) (dále jen "Nařízení").

Chtěli bychom vás tímto informovat o našem nakládání s osobními údaji pro zajištění vaší informovanosti příp. pro získání souhlasu s jejich zpracováním.

1. Data a jejich využití 

Verlag Dashöfer, nakladatelství spol s r.o. jakožto Správce zpracovává osobní údaje za tímto účelem:

 

 

 

 

Výše uvedené údaje zpracováváme po dobu aktivní objednané služby a po dobu 5 let od ukončení objednané služby nebo nákupu singulárního produktu, nepožaduje-li právní předpis uchování smluvní dokumentace po dobu delší. V případě zpracování osobních údajů na základě uděleného dobrovolného souhlasu po dobu 5 let od udělení souhlasu.

Aktuální seznam našich zpracovatelů můžete nalézt zde.

2. Zabezpečení dat 

Ochrana vašich údajů je pro nás klíčová, proto vynakládáme maximální úsilí pro zajištění jejich bezpečnosti. Plně využíváme technická i organizační opatření pro prevenci neoprávněného přístupu k těmto datům a zamezení jejich zničení nebo zneužití. Způsoby zabezpečení vašich dat jsou také pravidelně kontrolovány.

Při zpracování údajů v plné míře využíváme možností pseudonymizace a anonymizace, abychom co nejvíce posílili jejich zabezpečení.   

 

3. Práva subjektů

Nad svými osobními údaji neztrácíte kontrolu. Můžete k nim kdykoliv přistupovat nebo je opravit. Jako subjekt zpracování osobních dat máte také následující práva: právo na potvrzení o zpracování a informace o tom, jaké osobní údaje o vás zpracováváme, na opravu, výmaz (pokud se nejedná o osobní údaje, které jsme povinni nebo oprávněni dále zpracovávat dle příslušných právních předpisů), omezení zpracování, přenos osobních údajů, námitku proti zpracování, podat stížnost u dozorového úřadu(ÚOOÚ), na účinnou soudní ochranu, pokud máte za to, že vaše práva podle Nařízení byla porušena v důsledku zpracování vašich osobních údajů v rozporu s tímto Nařízením. V případě zpracování na základě uděleného dobrovolného souhlasu máte také právo kdykoliv tento souhlas vzít zpět. 

V případě dalších dotazů ohledně zpracování osobních údajů nás můžete kontaktovat na info@dashofer.cz