Slovníček pojmů
Slovníček pojmů
Pojem | Definice |
Automatizované rozhodování | Automatizované rozhodování je rozhodování, které probíhá bez manuálního zásahu lidské osoby, nýbrž na základě daného algoritmu. Výsledek automatizovaného rozhodnutí se může dotýkat subjektu údajů a mít pro něj právní účinky, jako je například uzavření smlouvy. |
Bez zbytečného odkladu | Pojem bez zbytečného odkladu je neurčitou lhůtou, v rámci které je nutné povinnost splnit. Jedná se o krátký časový úsek, ve kterém má povinná osoba, například správce, konat. Pokud povinná osoba v tomto krátkém časovém úseku nejedná, musí mít důvod, kvůli kterému nebylo možné konat bez odkladu, např. v důsledku složitosti problému nebo žádosti či velkého rozsahu osobních údajů, kterých se povinnost týká. |
Doba uchování | Správce není oprávněn osobní údaje uchovávat neomezeně dlouho. Je proto nutné stanovit dobu, po kterou budou zpracované osobní údaje uchovávány. Doba uchování musí být přiměřená účelu, za jakým jsou osobní údaje zpracovávány. Správce je povinen sdělit subjektu údajů dobu, po jakou dobu budou osobní údaje subjektu uchovávány. Pokud není možné takovou dobu uchování určit předem, je správce povinen informovat subjekt údajů alespoň o kritériích, pomocí kterých bude tato doba určena. |
Dozorový úřad | Dozorovým úřadem pro oblast ochrany osobních údajů v České republice je Úřad pro ochranu osobních údajů. |
Hlavní činnost | Hlavní činnost je činnost, která je pro správce nebo zpracovatele naprosto stěžejní hospodářskou činností a souvisí s jeho primárním působením. |
Informační memorandum | Informační memorandum je dokument, prostřednictvím jehož Společnost plní informační povinnost vůči subjektům údajů ve smyslu čl. 13 a 14 GDPR. Informační memorandum nemusí subjekt údajů podepisovat, ale subjektu údajů by mělo být prokazatelně zprostředkováno. |
Informační povinnost | Informační povinnost je povinností správce vůči subjektu údajů. Správce je povinen subjekt údajů informovat před započetím zpracování nebo při prvním kontaktu se subjektem údajů. Subjekt údajů by měl být informován zejména o rozsahu zpracovávaných osobních údajů, účelu zpracování, době uchování zpracovaných osobních údajů, případných dalších osobách, kterým budou osobní údaje předány a o právech, které náleží subjektu údajů. |
Kategorie osobních údajů | GDPR rozlišuje dvě kategorie osobních údaje, a to (i) „běžné“ osobní údaje a (ii) zvláštní kategorie osobních údajů. Dále lze osobní údaje členit v rámci subjektivního rozdělení správcem, například na kategorie identifikačních údajů nebo kategorie adresních údajů. Takové subjektivní rozdělení slouží jako další podskupina pod kategoriemi stanovenými GDPR. |
Kontaktní osoba pro ochranu osobních údajů | Kontaktní osoba pro ochranu os. údajů je osoba, která plní obdobnou agendu jako DPO, aniž by jím byla formálně jmenována. Agenda kontaktní osoby pro ochranu osobních údajů zahrnuje zejména následující: • informační a poradenská činnost, zejména ve vztahu k zaměstnancům, • vyřizování uplatněných práv subjektů údajů, • komunikace a konzultace s ÚOOÚ (zejm. zajištěním přístupu k jím vyžádaným dokumentům a informacím). |
Kontrolní opatření | Kontrolní opatření jsou opatření zaměřená na monitorování dodržování zavedených postupů a opatření sloužících k ochraně osobních údajů při jejich zpracování. |
Minimalizace | Zásada minimalizace osobních údajů patří mezi základní zásady zpracování dle GDPR. Dle zásady minimalizace údajů musí být osobní údaje zpracovávané pro určitý účel přiměřené, relevantní a omezené na nezbytný rozsah. Správce nesmí zpracovávat osobní údaje ve větším rozsahu, než je pro daný důvod zpracování nezbytné. K osobním údajům by měly mít přístup vždy jen ty osoby, které je nezbytně potřebují a jsou k tomu oprávněny (tzv. „need‐to‐know“ princip). |
Ohlašovací povinnost vůči dozorovému úřadu | GDPR klade na správce povinnost ohlašování porušení zabezpečení osobních údajů. Takové ohlášení musí proběhnout bez zbytečného odkladu, maximálně však do 72 hodin od okamžiku, kdy se o porušení správce dozvěděl. Ohlášení případů porušení se podává k Úřadu pro ochranu osobních údajů, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. |
Oprávněný zájem | Oprávněný zájem je jeden z právních titulů zákonného zpracování osobních údajů. Na základě oprávněného zájmu je možné zpracovávat údaje pouze v situaci, kdy nad zájmy správce nepřevažují základní práva a svobody subjektu údajů. Existenci oprávněného zájmu je vždy třeba předem interně posoudit a odůvodnit. |
Osobní údaje | Osobními údaji mohou být jakékoliv informace, které mohou identifikovat konkrétní fyzickou osobu, ať již přímo nebo nepřímo. Možnými identifikátory fyzické osoby jsou například jméno, identifikační číslo, lokalizační údaje, síťový identifikátor nebo další prvky genetické, ekonomické, kulturní nebo společenské identity fyzické osoby. Uvedené identifikátory nemusí být osobními údaji pro každého, neboť ne každý si danou informaci dokáže spojit s konkrétním jednotlivcem. Informace tedy musí být vždy posuzovány v úplném kontextu, a to vždy vzhledem ke schopnosti osoby identifikovat konkrétního jednotlivce na základě jí poskytnutých informací. |
Osobní údaje týkající se rozsudků v trestních věcech | Osobní údaje týkající se rozsudků v trestních věcech a trestných činů (tj. údaje o trestní bezúhonnosti, výpisy z rejstříku trestů) mohou být zpracovávány podle pravidel uvedených v čl. 10 GDPR. |
Posouzení vlivu na ochranu osobních údajů | GDPR stanoví příklady činností zpracování, před jejichž započetím je správce povinen provést DPIA. Obsahem DPIA je popis činností zpracování, jaké se správce chystá provádět, přiměřenost a nezbytnost těchto činností s ohledem na důvod, pro který jsou osobní údaje zpracovávány, a posouzení, jaká rizika přináší plánované činnosti zpracování pro subjekty údajů. Obsahem DPIA by měla být i konkrétní opatření a záruky nebo mechanismy k minimalizaci vyhodnocených rizik. DPIA je nutné provést před započetím vybraných zpracování. Jedná se zejména o rozsáhlé systematické monitorování veřejně přístupných prostorů (například prostřednictvím kamerového systému) nebo systematické a rozsáhlé zpracování založené na profilování nebo automatizovaném rozhodování. |
Pověřenec pro ochranu osobních údajů | Pověřenec pro ochranu osobních údajů je osoba, kterou jsou povinni jmenovat někteří správci nebo zpracovatelé, konkrétně ti, jejichž hlavní činnosti spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů, nebo jehož hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. Pověřence pro ochranu osobních údajů musí dále jmenovat orgány veřejné moci. Pověřenec musí disponovat odbornými znalostmi a musí plnit úkoly stanovené GDPR. Mezi takové úkoly patří například poskytování informací a poradenství v oblasti ochrany osobních údajů, monitorování souladu s GDPR nebo spolupráce s dozorovým úřadem. |
Práva subjektů údajů | Práva, která může subjekt údajů uplatnit vůči správci. |
Pravidelné a systematické monitorování | Pojem pravidelného a systematického monitorování není v GDPR výslovně definován. Pravidelnost monitorování však můžeme spatřovat v průběžném, opakujícím se nebo opakovaném zpracování. Systematické zpracování je zpracování, které je nějakým způsobem přednastavené, organizované a probíhá dle určitého systému. |
Právní titul | Právní titul je právní důvod, který je podkladem pro předmětné zpracování osobních údajů, aby bylo zpracování zákonné. Výčet právních titulů je uveden v čl. 6 GDPR. Výčet právních titulů dle GDPR je uzavřený. Aby prováděné zpracování bylo zákonné, je nutné zpracování provádět pouze na základě důvodů uvedených v GDPR. |
Profilování | Profilování je způsob zpracování osobních údajů, který probíhá automatizovaně. Tento způsob zpracování hodnotí hlediska vztahující se k subjektu údajů za účelem analýzy ekonomické situace, zdravotního stavu, osobních preferencí, místa pohybu či pobytu nebo chování. |
Příjemce | Příjemcem je jakákoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterému jsou osobní údaje poskytnuty. |
Přijetí žádosti | Přijetí žádosti je pojem, který souvisí s výkonem práv subjektů údajů. Je to proces, v rámci kterého by měl správce nejprve identifikovat subjekt údajů, který žádost odeslal a následně posoudit, zda má subjekt údajů nárok na výkon práva, který žádá. |
Přímý marketing | Přímý marketing je přímou komunikací mezi nabízejícím a zákazníkem či potenciálním zákazníkem. Zpracování osobních údajů pro účely přímého marketingu může být realizováno na základě souhlasu nebo za níže uvedené podmínky může být považováno za zpracování na základě oprávněného zájmu. Pro takové zpracování není vyžadován souhlas, je však nezbytné zpracováním nezasahovat nepřiměřenou měrou do základních práv a svobod subjektů údajů. |
Rozhodnutí Komise o odpovídající ochraně | Rozhodnutí Komise o odpovídající ochraně je jedním ze způsobů, kterým je možné předávat osobní údaje subjektů údajů do třetích zemí mimo území Evropského hospodářského prostoru. Aby mohlo předávání osobních údajů na této bázi probíhat, musí Komise stanovit, že daná třetí země (či její určité území nebo konkrétní odvětví v této třetí zemi) nebo mezinárodní organizace, zajišťuje dostatečnou úroveň ochrany. |
Rozsáhlé zpracování | Rozsáhlé zpracování osobních údajů není GDPR výslovně definované, při jeho určení se bere v potaz několik faktorů, jako je například počet dotčených subjektů údajů, velikost území nebo doba prováděného zpracování. |
Souhlas | Souhlas je projevem vůle subjektu údajů a současně jedním z právních titulů, na základě kterého je možné osobní údaje zpracovávat. GDPR na souhlas klade určité požadavky ‐ souhlas musí být svobodný a konkrétní pro určitou činnost zpracování a současně musí obsahovat informace o zpracování, ke kterému je souhlas udělován (zejména kdo bude zpracování provádět, jaký rozsah osobních údajů bude zpracováván nebo informace o právech, které subjektu údajů náleží). O udělení souhlasu nemůže být pochyb, musí být vyjádřen aktivním prohlášením nebo potvrzením subjektu údajů se zpracováním. V tomto případě nelze aplikovat konkludentní souhlas, tj. souhlas mlčky či faktickým jednáním. |
Společní správci | Společnými správci jsou správci, kteří společně stanoví důvod, pro který jsou osobní údaje zpracovávány (účel zpracování), a způsob, jakým budou zpracovány (prostředky zpracování). Tito společní správci si musí vzájemným ujednáním také určit, kdo bude odpovědný za jednotlivé povinnosti v oblasti ochrany osobních údajů. |
Správce | Správce je subjekt, který určuje účely (proč) a prostředky (jak) zpracování osobních údajů. Správce tedy určuje důvod, pro který jsou osobní údaje zpracovávány, a způsob, jakým budou zpracovány. Správcem může být fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt. |
Standardní doložky o ochraně osobních údajů | Standardní doložky o ochraně osobních údajů představují jeden ze způsobů, jak je možné osobní údaje předávat do třetích zemí mimo Evropský hospodářský prostor dle čl. 46 GDPR. Pokud tedy neexistuje rozhodnutí Evropské komise o odpovídající ochraně (viz pojem Rozhodnutí Komise o odpovídající ochraně) a předání osobních údajů není možné založit na některé z výjimek dle čl. 49 GDPR, může k předání dojít na základě jedné z tzv. vhodných záruk dle čl. 46 GDPR. Standardní smluvní doložky definovala Evropská komise ve svých rozhodnutích a je možné je uzavřít jak mezi správcem (v EHP) a zpracovatelem (mimo EHP), tak při předání osobních údajů mezi dvěma správci, z nichž jeden je mimo EHP. Při uzavření standardních doložek o ochraně osobních údajů je odpovědností správce zajistit bezpečnost údajů, které jsou předávány do třetích zemí. Text standardních smluvních doložek je dostupný na webových stránkách Evropské komise: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx‐topic/data‐protection/data‐transfers‐ outside‐eu/model‐contracts‐transfer‐personal‐data‐third‐countries_en |
Strukturovaný, běžně používaný a strojově čitelný formát | GDPR nestanovuje konkrétní formát, ve kterém má správce osobní údaje poskytnout, stanovuje však jeho minimální požadavky. Musí jít o formát strukturovaný, tedy uspořádaný, běžně používaný a nenákladný. Formát by měl být strojově čitelný, což znamená mít strukturu, ze které mohou aplikace snadným způsobem získat data a použít je. |
Subjekt údajů | Subjektem údajů je ta konkrétní identifikovatelná fyzická osoba, jejíž osobní údaje jsou zpracovávány. |
Test proporcionality (balance test) | Test proporcionality je test, v rámci kterého se porovná zpracování osobních údajů za účelem oprávněného zájmu se základními právy a svobodami subjektu údajů. Zpracování osobních údajů pro oprávněný zájem musí být přiměřené ve vztahu k základním právům a svobodám subjektů údajů, nesmí tedy významným způsobem zasahovat nebo porušovat jejich základní práva a svobody. |
Účel zpracování | Důvod, pro který jsou osobní údaje zpracovávány. |
Vhodné záruky (Předávání založené na vhodných zárukách) | Poskytnutí vhodných záruk je nezbytné pro zákonné předávání osobních údajů do třetích zemí mimo území Evropského hospodářského prostoru, pokud o dostatečné ochraně v takové zemi nerozhodla Evropská komise a předání není možné realizovat na základě některé z výjimek uvedených v čl. 49 GDPR. Tzv. vhodné záruky musí poskytnout správce nebo zpracovatel ve třetí zemi například prostřednictvím standardních smluvních doložek (viz pojem Standardní doložky o ochraně osobních údajů) nebo závazných podnikových pravidel. Tím správce nebo zpracovatel zaručí, že v dané třetí zemi je v tomto případě zajištěna dostatečná úroveň ochrany. |
Výmaz osobních údajů | Výmaz osobních údajů je kompletní odstranění osobních údajů ze všech databází, systémů a jakýchkoliv dalších úložišť správce či zpracovatele, kde jsou osobní údaje zpracovávány, včetně fyzických dokumentů. Výmaz musí správce zajistit také ze všech systémů zpracovatele, pokud mu byly osobní údaje daného subjektu údajů poskytnuty. |
Zabezpečení zpracování osobních údajů (podle čl. 32) | GDPR klade na správce i zpracovatele požadavek, aby zpracovávané osobní údaje byly zabezpečeny a chráněny. Jedná se o souhrn organizačních a technických opatření, která by měl správce nebo zpracovatel přijmout a dodržovat. |
Zákonnost zpracování | GDPR stanoví podmínky, které je třeba splnit, aby zpracování osobních údajů bylo zákonné. Zejména musí být zpracování prováděno za legitimním účelem a na základě některého z právních titulů uvedených v čl. 6 GDPR. Pokud zpracování tyto základní zásady (stejně jako ostatní zásad uvedené v čl. 5 GDPR) nesplňuje, je nezákonné a dochází tak k porušení povinností stanovených GDPR. |
Závazná podniková pravidla | Závazná podniková pravidla představují jednu z možných vhodných záruk pro předání osobních údajů do třetích zemí (viz pojem Vhodné záruky). Závazná podniková pravidla si mezi sebou mohou stanovit společnosti působící v rámci skupiny podniků, které vykonávají společnou hospodářskou činnost. Tato pravidla schvaluje dozorový úřad a obsahují zejména seznam společností, které se k dodržování pravidel zavázaly, dále podmínky předávání osobních údajů nebo třeba nastavenou ochranu osobních údajů, případně jejich zabezpečení. |
Zpracování osobních údajů | Za zpracování osobních údajů se považuje jakékoliv nakládání s osobními údaji. |
Zpracování osobních údajů pro konkrétně stanovený účel | Zpracování osobních údajů musí probíhat pouze pro ten důvod, který správce stanovil jako účel zpracování. Takto zpracované údaje nelze dále používat i pro jiný účel, tedy pro jiné důvody, než které byly původně stanoveny, s výjimkou účelů slučitelných s účelem, pro který byly osobní údaje shromážděny (za splnění dalších podmínek). |
Zpracování ve veřejném zájmu | Zpracování ve veřejném zájmu je jeden z právních titulů, tedy důvodů, na základě kterých je možné zpracovávat osobní údaje. Zpracování ve veřejném zájmu provádí orgány veřejné moci nebo další subjekty, které plní úkoly ve veřejné moci. Právním základem pro oprávněné zpracování ve veřejném zájmu je plnění veřejného úkolu, ať již ze strany subjektu soukromého nebo veřejného práva. Osobní údaje získané pro tento účel není možné využít jinak než pro dané plnění veřejného úkolu. |
Zpracovatel | Zpracovatel je subjekt (třetí osoba odlišná od správce), který zpracovává osobní údaje pro správce, který již určil, proč se osobní údaje zpracovávají a jak se zpracovávají. Zpracovatelem může být právnická nebo fyzická osoba, orgán veřejné moci, agentura nebo další subjekt, který zpracovává osobní údaje. Zpracování osobních údajů zpracovatelem je prováděno na základě písemné smlouvy. Za zpracovatele se nepovažuje zaměstnanec správce. |
Zvláštní kategorie osobních údajů | Do zvláštní kategorie osobních údajů spadají osobní údaje, které jsou ve vztahu k subjektu údajů vnímány jako citlivé. I proto jim GDPR přiznává speciální podmínky ochrany. Osobní údaje, které do této kategorie spadají, jsou uvedeny v čl. 9 GDPR a jejich výčet je úplný (uzavřený). |