Navigation path

Jak se mohu ujistit, že vyhovuji všem pravidlům ochrany osobních údajů?

Jak se mohu ujistit, že vyhovuji všem pravidlům ochrany osobních údajů?

Vaši on-line zákazníci vám mohou bez přemýšlení poskytovat své jméno, adresu, bankovní údaje a podrobnosti o bankovní či kreditní kartě, ale vy z pozice on-line obchodníků máte povinnost chránit jejich osobní údaje před zneužitím a zároveň také respektovat jejich právo na soukromí během zpracování osobních údajů. 

Osobní údaje jsou definovány jako informace týkající se identifikované či identifikovatelné osoby (označované jako „subjekt údajů“). 

Příklady osobních údajů, které lze použít k identifikaci osoby: jméno, pohlaví, identifikační číslo, číslo kreditní karty, kontaktní údaje (adresa, telefonní číslo, e-mail atd.), věk a datum narození, bezpečnostní registrační číslo, daňové identifikační číslo, používaný jazyk, biometrické údaje (např. otisky prstů nebo DNA).

Určité typy osobních údajů spadají do kategorie známé jako citlivé údaje, tj. kategorie údajů, jež odhalují: rasový či etnický původ, politické názory, náboženské či filosofické přesvědčení, členství v odborové organizaci nebo informace o zdraví či sexuálním životě. Citlivé údaje nesmíte zpracovávat bez výslovného povolení od subjektu (na základě volby). 

„Zpracováním“ se rozumí jakákoliv operace s osobními údaji, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Dodržování požadavků na ochranu osobních údajů ohledně subjektů shromažďujících údaje

Dne 25. května 2018 vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR); GDPR představuje významnou reformu pravidel EU v oblasti ochrany osobních údajů a efektivně aktualizuje směrnici o ochraně osobních údajů 95/46. Vše, co potřebujete vědět o pravidlech pro podniky a organizace, je k dispozici na webu Evropské komise o reformě pravidel EU pro ochranu osobních údajů.

Pravidla GDPR platí nejen v případě, kdy sídlíte nebo působíte v rámci EU, ale také když zpracováváte osobní údaje od EU subjektů údajů ze zemí mimo EU. 
Podle zákonů na ochranu údajů platných v EU jste považováni za správce údajů, pokud jste osobou (buď jako jednotlivec nebo skupina), která určuje, proč (tj. účely) a jak (tj. způsoby) zpracováváte osobní údaje vašich zákazníků. 

Pokud jste osobami, které zpracovávají osobní údaje jménem správce údajů (např. jako poskytovatel cloudu, společnost zabývající se výzkumem trhu nebo účetní firma), jste považováni za zpracovatele údajů. 

Kromě získání důvěry od zákazníků mají subjekty shromažďující osobní údaje povinnost zajistit následující:

zaručit, aby byly údaje shromažďovány poctivě a transparentně a aby zákazníci byli řádně informováni o tom, k jakému konkrétnímu zpracování osobních údajů dojde;
shromáždit a zpracovat osobní údaje pouze tehdy, když je účel legitimní, což znamená, pokud je vyžadován (např. kvůli smlouvě);
respektovat určité povinnosti týkající se zpracování osobních údajů. Kromě jiného můžete shromažďovat údaje jménem správce, pouze pokud existuje písemná smlouva, která zpracovateli údajů dle GDPR ukládá řadu povinných podmínek. Zpracovatel také musí uchovávat záznamy o činnostech zpracování údajů a na vyžádání je poskytnout dozorovému úřadu. Musíte zaručit, aby vaše subjekty mohly přistupovat, upravovat, odstraňovat nebo blokovat nesprávné údaje o své osobě, a tyto osobní údaje nesmí být uchovávány déle, než je bezpodmínečně nutné;
reagovat na přijaté stížnosti týkající se operací zpracování osobních údajů;
spolupracovat s vnitrostátními orgány dozoru na ochranu údajů, které jsou odpovědné za monitorování shody s vnitrostátními právními předpisy na ochranu osobních údajů a za vyslechnutí nároků vznesených jednotlivci ohledně zpracování jejich osobních údajů.

Pamatujte, že budete právně zodpovědní i v případě, že někdo, kdo pro vás pracuje, odhalí osobní údaje a poruší zákon o ochraně osobních údajů.

Oznámení zákazníkům

Pokud zpracováváte osobní údaje, máte povinnost informovat o tom své zákazníky. Z toho důvodu byste měli na svých webových stránkách publikovat oznámení o ochraně soukromých údajů, a to „srozumitelně a jasně“.

Z pozice subjektu shromažďujícího údaje byste měli poskytnout nejméně tyto informace:

celý název společnosti, subjektu nebo vaší osoby (jakožto správce údajů);
vaše kontaktní údaje;
popis účelů, k jakým jsou údaje používány;
místo zpracovávání;
popis osoby, veřejného orgánu, agentury nebo jiné instituce, kterým mohou být údaje zveřejněny;
jak mohou jednotlivci kontrolovat své osobní údaje a uplatňovat svá práva, která se jich týkají (např. jak k osobním údajům přistupovat, upravovat je nebo odstraňovat), nebo jak mohou podat protest proti použití svých údajů k přímému marketingu.

Oznámení o ochraně soukromých údajů rovněž může zahrnovat další podrobnosti, jako například jak dlouho budou osobní údaje uchovávány, jak jsou osobní údaje chráněny atd.

 

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Než začnete se zpracováním osobních údajů, vyplňte oznámení prostřednictvím webu Úřad na ochranu osobních údajů.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Česká republika Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Denmark Complete the notification via Datatilsynet website before starting the processing activity.
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Zdroje informací

Dodržování požadavků na ochranu osobních údajů
Agentura Evropské unie pro základní práva a Rada Evropy, (2014), Handbook on European DataProtection Law
Směrnice EU o ochraně osobních údajů (směrnice 95/46/ES)
Směrnice o ochraně osobních údajů: https://ec.europa.eu/info/law/law-topic/data-protection_cs 
EK spravedlnost (2014), Ochrana údajů, k dispozici na adrese http://ec.europa.eu/justice/data-protection/index_cs.htm 
EK spravedlnost, pracovní skupina zřízená podle článku 29, k dispozici na adrese http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Oznámení vnitrostátnímu orgánu
Směrnice EU o ochraně osobních údajů (směrnice 95/46/ES)
Oznámení zákazníkům na vašem webu
Agentura Evropské unie pro základní práva a Rada Evropy, (2014), Handbook on European DataProtection Law
Směrnice EU o ochraně osobních údajů (směrnice 95/46/ES) – článek 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?