GDPR pro knihovny JUDr. Tomáš Doležal advokát

Osnova Úvodní seznámení s GDPR Základní informace o GDPR Důvody přijetí nové právní úpravy a její cíle B. Působnost GDPR Subjekty Osobní údaje C. Základní principy GDPR Přehled zásad Zásady zpracování osobních údajů Právní důvody zpracování osobních údajů

Práva subjektů údajů Právo na přístup k osobním údajům Právo na opravu Právo na výmaz („být zapomenut“) Právo na přenositelnost údajů Právo vznést námitku E. Na závěr Dotazy a diskuze

A. Úvodní seznámení s GDPR aneb k čemu to vlastně je

A.1. Základní informace o GDPR Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) General Data Protection Regulation (GDPR) schváleno 27. dubna 2016 účinné od 25. května 2018 Forma nařízení (regulation) přímo použitelné, nadřazené vnitrostátní legislativě, univerzálně použitelné v EU, Islandu, Norsku a Lichtenštejnsku prakticky nahrazuje český zákon č. 101/2000 Sb., o ochraně osobních údajů nový zbytkový zákon o zpracování osobních údajů a doprovodný zákon je zatím pouze schválen vládou

Metodické pokyny a doporučení ministerstev a jiných orgánů přehled zde: https://www.uoou.cz/zverejnene-metodiky/d-28765/p1=4811 Národní knihovna ČR – Příručka pro knihovny dostupná zde: http://ipk.nkp.cz/legislativa/01_LegPod/ochrana-osobnich-udaju/ochrana-osobnich-udaju-prirucka-pro-knihovny#_Toc504730134

A.2. Důvody přijetí nové právní úpravy a její cíle - současný právní rámec z roku 1995 neodpovídal rozvoji techniky při zpracování osobních údajů (neexistovaly sociální sítě, cloudová úložiště atd.) => nařízení upravuje např. profilování nebo automatizaci zpracování osobních údajů - roztříštěná právní úprava napříč EU - nerovné postavení podniků v EU => nařízení zavádí jednotná pravidla pro zpracování osobních údajů - fyzické osoby (občané) mají získat větší kontrolu nad svými osobními údaji => nařízení zavádí přísnější pravidla pro zpracování osobních údajů

B. Působnost GDPR aneb co a pro koho?

B.1. Subjekty GDPR Osobní působnost správci osobních údajů - fyzické nebo právnické osoby, orgány veřejné moci - bez ohledu na obrat, velikost nebo počet zaměstnanců zpracovatelé osobních údajů - subjekty zpracovávající osobní údaje pro správce - např. poskytovatel cloudových služeb, formulářů subjekty údajů - fyzická osoba identifikovaná nebo identifikovatelná podle osobního údaje - nikoliv právnické osoby nebo orgány veřejné moci další subjekty (příjemci, třetí strany)

B.2. Osobní údaje zpracování osobních údajů negativní působnost: zpracování (definice v čl. 4 odst. 2 nařízení) osobní údaj (definice v čl. 4 odst. 1 nařízení) příklady: identifikační údaje, kontaktní údaje, fotografie, historie výpůjček, dlužné částky, fotografie… negativní působnost: činnosti nespadající do působnosti práva EU (např. národní bezpečnost) činnost orgánů veřejné moci v trestním řízení zpracování fyzickou osobou pro osobní či domácí potřebu

C. Základní principy GDPR aneb čím se vždy řídit

C.1. Přehled zásad Princip odpovědnosti Princip rizika správce odpovídá za dodržení zásad zpracování osobních údajů soulad zpracování je povinen doložit (např. kodexy, osvědčeními, certifikáty, záznamy o činnostech zpracování, zveřejňování informací, vnitřní předpisy pro nakládání s osobními údaji) Princip rizika správce již od počátku zpracování osobních údajů musí přihlédnout k pravděpodobným rizikům porušení práv subjektů údajů

C.2. Zásady zpracování osobních údajů zákonnost, korektnost a transparentnost účelové omezení minimalizace údajů (přiměřenost) přesnost omezení uložení integrita a důvěrnost

C.3. Právní důvody zpracování osobních údajů viz čl. 6 GDPR souhlas subjektu údajů se zpracováním svých osobních údajů po jeden nebo více konkrétních účelů (aktivní souhlas, graficky oddělitelný, odvolatelný) zpracování je nezbytné pro plnění smlouvy nebo před uzavřením smlouvy na žádost subjektu údajů zpracování je nezbytné pro splnění právní povinnosti správce (např. daňové a jiné povinnosti zaměstnavatele) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiných osob (humanitární účely, ochrana před epidemiemi..) zpracování je nezbytné při výkonu veřejné moci nebo při splnění úkolu ve veřejném zájmu zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany, převažují-li nad zájmy subjektu údajů (provozování kamerových záznamů, přímý marketing)

D. Práva subjektu údajů aneb co čtenáři mohou a knihovny musí

právo na přístup k osobním údajům právo na opravu právo na výmaz („být zapomenut“) právo na přenositelnost údajů právo vznést námitku viz čl. 15 až čl. 21 GDPR právo podat stížnost u dozorového úřadu (Úřadu pro ochranu osobních údajů) právo na soudní ochranu vůči dozorovému úřadu a vůči správci a zpracovateli viz čl. 77 až čl. 82

D.1. Právo na přístup k osobním údajům čl. 15 nařízení právo subjektu údajů vůči správci: a) získat potvrzení, zda jsou zpracovávány jeho osobní údaje b) pokud jsou, má právo na přístup k těmto osobním údajům c) právo na informace, jak jsou tyto osobní údaje zpracovávány (účely, doba zpracování, příjemce) bezplatné poskytnutí kopie další poskytnutí lze za přiměřený poplatek při podání žádosti v elektronické podobě se informace podávají elektronicky, pokud subjekt nepožádá o jinou formu

D.2. Právo na opravu čl. 16 nařízení právo subjektu údajů, aby správce opravil nebo doplnil jeho osobní údaje bez zbytečného odkladu

D.3. Právo subjektu údajů na výmaz („být zapomenut“) čl. 17 nařízení právo subjektu údajů, aby správce vymazal veškeré odkazy na osobní údaj subjektu údajů, pokud je splněna jedna z těchto podmínek: a) osobní údaje už nejsou potřebné pro daný účel b) subjekt údajů odvolá souhlas ke zpracování a jiný zákonný důvod zpracování není dán c) osobní údaje byly zpracovány protiprávně d) osobní údaje musí být vymazány ke splnění právní povinnosti atd. výjimky, kdy se právo neuplatní (např. veřejné zdraví, archivace, právo na svobodu projevu)

D.4. Právo na přenositelnost údajů čl. 20 nařízení právo subjektu údajů, aby od správce získal v běžném formátu své osobní údaje právo tyto osobní údaje předat jinému správci jen pokud je účelem zpracování souhlas nebo smlouva zvýšení konkurenceschopnosti posílení pozice spotřebitelů např. přenos dat mezi aplikacemi (běžecké, hudební, sdílené kalendáře atd.)

D.5. Právo vznést námitku čl. 21 nařízení právo subjektu údajů, aby správce dále nezpracovával údaje, pokud neprokáže oprávněné důvody, které převažují nad zájmy subjektu údajů jen pokud se zpracovávají osobní údaje za účelem: a) výkonu veřejné moci nebo úkolů ve veřejném zájmu b) zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany, převažují-li nad zájmy subjektu údajů (provozování kamerových záznamů, přímý marketing) při námitce proti přímému marketingu musí být vždy vyhověno a pro tyto účely osobní údaje dále nezpracovávány

E. Na závěr aneb co není jasné?

E.1. Dotazy a diskuze

JUDr. Tomáš Doležal, advokát tomas@dolezal-advokat.cz www.dolezal-advokat.cz nám. Republiky 679/5, Opava, PSČ: 746 01