GDPRGDPR

Ochrana a zpracování osobních údajů

AW TOOLS INTERNATIONAL s.r.o.
IČ: 64259251
Řípská 1153/20a, Slatina, 627 00 Brno

Ochranu soukromí klientů, pacientů, spolupracovníků jejich rodinných příslušníků i návštěvníků AW TOOLS INTERNATIONAL s.r.o. se sídlem Řípská 1153/20a, Slatina, 627 00 Brno (AWT) považujeme za prvořadou povinnost. S osobními údaji nakládáme v souladu s platnou legislativou ČR a EU (zejména Nařízením Evropského parlamentu a Rady (EU) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR) a zákonem č. 110/2019 Sb., o zpracování osobních údajů, resp. předpisy, které je nahradí. V tomto dokumentu podrobně uvádíme zásady, které uplatňujeme, abychom zajistili důvěrnost a bezpečnost osobních údajů zejména našich pacientů, ale i dalších osob.

Cílem tohoto dokumentu je poskytnout informace o tom, jaké údaje SPR shromažďuje, jak s nimi nakládá, z jakých zdrojů je získává, k jakým účelům je využívá, komu je dále může poskytnout, kde můžete získat informace o vašich osobních údajích, které zpracováváme a jaká jsou práva každého člověka v souvislosti se zpracováním jeho osobních údajů.

Pro zjednodušení je v tomto dokumentu používán pojem klient jako zastřešující označení pro subjekt údajů, tedy fyzickou osobu, k níž se osobní údaje vztahují. V relevantních případech tedy pojem klient pokrývá i další osoby (blízké osoby, osoby informované o jeho zdravotním stavu a jiné).

I. Jaké osobní údaje SPR shromažďuje a zpracovává

Osobní údaje, které má AWT povinnost zpracovávat i bez souhlasu klienta (jako součást účetní dokumentace a administrativní evidence):

• Identifikační údaje: osobní údaje sloužící k jednoznačné a nezaměnitelné identifikaci klienta (jméno, příjmení, titul, rodné číslo, bylo-li přiděleno, jinak datum narození, adresa trvalého pobytu);

• Kontaktní údaje: osobní údaje umožňující kontakt s klientem (zejména adresa, tel. číslo, e-mailová adresa), kontaktní informace osob oprávněných získávat informace o klientovi;.

Osobní údaje, které AWT zpracovává se souhlasem klienta, jsou specifikovány vždy v konkrétním souhlasu se zpracováním osobních údajů, který klient může AWT udělit.

Takové poskytnutí souhlasu je vždy dobrovolné a klient může daný souhlas kdykoli odvolat. Poskytnutí souhlasu může být podmínkou pro některé činnosti (mimo základní činnosti ), např. pro zařazení klienta do technologického vývoje, výzkumu apod.

II. Z jakých zdrojů AWT osobní údaje získává

Osobní údaje jsou získávány z následujících zdrojů:
• přímo od subjektu údajů (klient);
• v rámci činnosti AWT –veřejně dostupné registry státní správy apod.;
• od třetích osob oprávněných s těmito údaji nakládat a předat je AWT při splnění určitých podmínek (zejména od ostatních účastníků soukromoprávních právních vztahů v rámci zajištění kontinuity služeb);
• další – z důvodu ochrany práv a oprávněných zájmů AWT (např. provozování kamerového systému).

III. K jakým účelům AWT osobní údaje využívá a zpracovává

AWT zpracovává osobní údaje zpravidla na základě tzv. „zákonné licence“–povinnost zpracovávání a uchovávání osobních údajů vychází přímo z obecně závazného právního předpisu, pro zpracování není nutný souhlas klienta, zejména:

• Pro účely poskytování zdravotních služeb a služeb souvisejících, vedení účetní dokumentace a archivu;
• Plnění zákonných povinností (zdr. a soc. pojištění, daňové registry, specifikováno dále);
• Pro ochranu svých práv a právem chráněných zájmů (zejména z důvodu ochrany majetku, kontinuity informací, obezřetnosti, zajištění potřeb, ochrany zdraví klientů, kontrolních mechanizmů nebo jiných opatření nezbytných pro zajištění fungování AWT);
• Pro některé vědecko-výzkumné účely.

V ostatních případech zpracovává AWT osobní údaje výhradně se souhlasem klienta. Je pouze na jeho svobodném rozhodnutí, zda svůj souhlas v rozsahu navrženém AWT poskytne, případně omezí-li jej, nebo neposkytne. Poskytnutí souhlasu je zcela dobrovolné a není podmínkou pro poskytnutí služeb. Pokud se klient s AWT nedohodl jinak, může již poskytnutý souhlas odvolat nebo změnit/upravit jeho rozsah. Rozsahem poskytnutého souhlasu je AWT vázána. Jedná se o zpracování např. Pro další vědecko-výzkumné účely a vzdělávání, případně marketing.

IV. Jak dlouho AWT osobní údaje uchovává

AWT uchovává osobní údaje vždy nejméně po dobu, po kterou jí to stanoví obecně závazné právní předpisy uvedené výše nebo z důvodu ochrany jeho práv či práv na ochranu zájmů SPR.

Z důvodu ochrany práv a oprávněných zájmů AWT (zejména s ohledem na účinnou obranu SPR v případě uplatnění nároku na náhradu škody ze strany klienta) nebo z důvodu ochrany ekonomických zájmů AWT ( např. vykazování daňového plnění), jsou pro některé druhy osobních údajů stanoveny lhůty pro uchovávání delší.

Osobní údaje zpracovávané na základě souhlasu subjektu osobních údajů, jsou zpracovávány po dobu, na kterou je souhlas udělen, resp. do okamžiku, než subjekt údajů svůj souhlas odvolá.

V souladu se zásadou minimalizace dat je naším záměrem zpracovávat pouze ty osobní údaje, které nezbytně potřebujeme pro daný účel a jejich uchovávání je nastaveno tak, aby byly ponechány po nezbytně nutnou dobu k zajištění zájmů subjektu údajů nebo ochrany jeho práv či práv na ochranu zájmů AWT. Jakmile daná doba uplyne nebo pozbyly důvody uchování, jsou osobní údaje vymazány, resp. anonymizovány.

V. Jakým způsobem AWT zajišťuje ochranu osobních údajů

Veškeré osobní údaje, a především citlivé údaje (v papírové i elektronické podobě) jsou pod stálou fyzickou, elektronickou i procedurální kontrolou. AWT disponuje kontrolními, technickými a bezpečnostními mechanismy zajišťujícími maximální možnou ochranu zpracovávaných údajů před neoprávněným přístupem a přenosem, před jejich ztrátou, zničením nebo zneužitím.

Veškeré osoby, které s osobními údaji přicházejí do styku v rámci plnění svých pracovních či smluvně převzatých povinností, jsou vázány zákonnou a/nebo smluvní povinností mlčenlivosti.

VI. Komu AWT osobní údaje poskytuje

1. Státním orgánům, resp. dalším subjektům, v rámci plnění zákonných povinností stanovených zvláštními předpisy např.
• zdravotním pojišťovnám;
• zákonným registrům;
• Policii ČR: § 68 a § 71 zákona č. 273/2008 Sb., o Policii ČR (pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě. útvar policie, jehož úkolem je boj s terorismem, může za účelem předcházení a odhalování konkrétních hrozeb v oblasti terorismu v nezbytném rozsahu žádat poskytnutí informací o době a místě poskytnutí zdravotních služeb);
• exekutorovi: § 33 zákona č. 120/2001 Sb., exekuční řád (údaje o majetku, o číslech účtů povinného, zdravotní pojišťovně), § 55 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění;
• Úřadu;
2. Dalším subjektům, pokud je to nezbytné pro ochranu práv AWT, např. pojišťovnám nebo společnosti, která pro AWT pojištění zprostředkovává při uplatnění nároku na náhradu škody, soudům atp.; rozsah poskytnutých osobních údajů je omezen na údaje nezbytné pro úspěšné uplatnění nároku nebo obranu zájmů AWT.

3. Specializovaným externím subjektům (dále jen „zpracovatel“), které pro AWT provádějí zpracování na základě smlouvy; zpracovatel musí SPR vždy poskytnout záruky o technickém a organizačním zabezpečení předávaných osobních údajů.

4. Se souhlasem klienta nebo na jeho písemný pokyn mohou být osobní údaje poskytnuty i dalším subjektům.

VII. Jsou osobní údaje zpracovávány i v zahraničí ?

V rámci Evropského hospodářského prostoru („EHP“) platí režim volného pohybu osobních údajů a pro jejich zpracování se uplatní stejná pravidla jako v České republice. V některých případech se může stát, že smluvní partneři AWT osobní údaje zpracovávají ve třetích zemích (tedy zemích mimo EHP), ovšem vždy při dodržení veškerých legislativních požadavků. Pokud dochází ke zpracování osobních údajů v USA, požaduje SPR vždy splnění buď požadavků v rámci tzv. programu Privacy Shield („Štít soukromí“), včetně registrace nebo obdobnou záruku vysoké ochrany osobních údajů (např. tzv. standardní smluvní doložky).

VIII. Jaké jsou možnosti a práva klientů a dalších osob v souvislosti se zpracováním a předáváním osobních údajů

1. Právo na přístup
Každá osoba, o níž AWT zpracovává její osobní údaje, má právo žádat mj.:
• Potvrzení, zda o ní AWT zpracovává osobní údaje či nikoli;
• Jaké osobní údaje AWT zpracovává, za jakým účelem, po jak dlouhou dobu;
• Komu jsou osobní údaje zpřístupněny, příp. předávány, jaké entity osobní údaje zpracovávají pro AWT;
• Poskytnutí kopie zpracovávaných osobní údaje.

Výše uvedená práva se týkají případů, kdy jsou osobní údaje zpracovávány na základě souhlasu subjektu údajů. Pokud je získávání nebo zpřístupnění osobních údajů výslovně stanoveno obecně závazným právním předpisem, který se na správce (AWT) vztahuje, není povinností AWT informace dle předchozích odstavců
poskytnout.

2. Právo na opravu
Pokud klient zjistí, že osobní údaje, které o něm AWT zpracovává jsou nepřesné či jinak neodpovídají skutečnosti, má právo AWT požádat o nápravu této situace.

3. Právo na výmaz
Klient má právo žádat, aby AWT vymazala osobní údaje, které o něm zpracovává. Takové žádosti je však AWT obecně oprávněna vyhovět pouze v případě, kdy předmětné osobní údaje:
• AWT již není povinna zpracovávat z titulu plnění své povinnosti vyplývající ze zákona či smlouvy;
• AWT již tyto údaje nepotřebuje pro určení, výkon nebo obhajobu svých právních nároků;
• AWT poté, co klient vznesl námitku proti zpracování, shledala, že její oprávněný zájem na zpracování těchto osobních údajích již pominul;
• osobní údaje byly zpracovávány na základě souhlasu žadatele.

4. Právo na omezení zpracování
Klient má právo požadovat, aby AWT omezila zpracování jeho osobních údajů v následujících případech:
• klient popírá přesnost zpracovávaných osobních údajů;
• zpracování je protiprávní, klient odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
• AWT již osobní údaje nepotřebuje pro účely zpracování, ale klient je požaduje pro určení, výkon nebo obhajobu právních nároků;
• klient vznesl námitku proti zpracování; a zatím není ověřeno, zda oprávněné důvody AWT převažují nad oprávněnými důvody klienta.

5. Právo na přenositelnost údajů
Předmětem práva na přenositelnost údajů jsou pouze ty osobní údaje, které AWT zpracovává na základě souhlasu klienta a/nebo plnění smlouvy. AWT tyto údaje na žádost poskytne ve strukturované podobě.

6. Právo vznést námitku
Klient má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se ho týkají, a jsou zpracovávány na základě veřejného zájmu nebo oprávněného zájmu AWT, včetně profilování. AWT nebude osobní údaje dále zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů,
nebo pro určení, výkon nebo obhajobu právních nároků. AWT je oprávněna požadovat přiměřenou náhradu nákladů na poskytnutí údajů ze zdravotnické, či administrativní dokumentace klientovi.

IX. Kam se může klient obrátit pro další informace, kde může uplatnit svá práva ve vztahu ke zpracování osobních údajů

Žádosti o výkon práv ve vztahu ke zpracování osobních údajů AWT přijímá:
A. poštou: písemně s úředně ověřeným podpisem, přičemž tato žádost musí být zaslána na adresu

AW TOOLS INTERNATIONAL s.r.o.
Řípská 1153/20a, Slatina, 627 00 Brno

B. osobním doručením žádosti do sídla AW TOOLS INTERNATIONAL s.r.o.m Řípská 1153/20a, Slatina, 627 00 Brno, sekretariát ředitelství, 1. patro (PO – ČT 9 – 15 hod., PÁ 9 – 12 hod.). AWT je oprávněna před předáním informace ověřit totožnost žadatele podle OP nebo cestovního pasu;

C. e-mailem na adresu info@awtools.cz, za předpokladu, že žadatel e-mail podepíše vlastním kvalifikovaným elektronickým podpisem;

D. datovou schránkou, za předpokladu, že žadatel se shoduje s odesílatelem datové zprávy.

AWT ustanovila roli Pověřence pro ochranu osobních údajů, na kterého se lze obrátit prostřednictvím e-mailové adresy poverenec@awtools.cz.

Pokud klient zjistí nebo se domnívá, že při zpracování osobních údajů došlo ze strany AWT nebo dalších subjektů provádějících zpracování k porušení jeho práv či k porušení povinností stanovených zákonem, může se domáhat nápravy s využitím všech prostředků, které mu k tomu platná právní úprava poskytuje.

Klient může rovněž v případě, kdy se nemůže domoci práv jiným způsobem, obrátit se nebo podat stížnost u dozorového orgánu, kterým je Úřad pro ochranu osobních údajů se sídlem pplk. Sochora 27, Praha 7, 170 00.

X. Jak AWT informuje o zásadách a pravidlech zpracování osobních údajů a jejich ochraně

Tyto zásady jsou veřejně přístupné na internetových stránkách AWT

General Data Protection Regulation (GDPR)
Nařízení (EU) 2016/679

AW TOOLS INTERNATIONAL s.r.o.
IČ: 64259251
Řípská 1153/20a, Slatina, 627 00 Brno

ZÁKLADNÍ INFORMACE
pro zaměstnance společnosti, externí pracovníky a spolupracující dobrovolníky

GDPR - OBECNÁ DEFINICE

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.

Zpracovatel bude muset ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

OSOBNÍ ÚDAJE

Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Genetickými údaji jsou osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby nebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem, které vypovídají o tělesném nebo dušením zdraví člověka.

Biometrickým údajem jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis.

PRÁVA OBČANŮ Z GDPR

Jedním z největších dopadů nařízení je výrazné posílení práv občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na přístup, opravu, výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů a v neposlední řadě právo vznést námitku.

Příkladem práv na přístup je informace o zdravotním stavu subjektu, přístup k údajům ve své zdravotní dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.

Každý občan tedy bude mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů, vědět, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.

Naprosto novým právem podle GDPR je právo na to, aby správce bez zbytečného odkladu vymazal naše osobní údaje, pokud je dán jeden z těchto důvodů:

• Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
• Občan odvolá souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
• Občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
• Osobní údaje byly zpracovány protiprávně.
• Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
• Právní povinnost stanovená právem Unie nebo členským státem.

Aby měl občan větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném formátu a předat je jinému správci. Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.

ODPOVĚDNOST SPRÁVCE DAT

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:

• implementace záměrné a nezbytné ochrany dat
• vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
• jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
• zavedení tzv. pseudonymizace osobních údajů
• vedení záznamů o činnostech zpracování
• konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
Tyto záznamy o činnostech musí obsahovat následující informace:

• jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
• účely zpracování
• popis kategorií subjektů údajů a kategorií osobních údajů
• kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
• informace o mezinárodním předávání osobních údajů
• lhůty pro výmaz jednotlivých kategorií údajů
• popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Data Protection Officer (DPO)

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer).

Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost pověřence jmenovat nastává ve třech případech, pokud:

1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Ve všech třech případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Podle nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce zajistit, aby je jediný pověřenec zvládl plnit efektivně i přesto, že má odpovědnost za několik orgánů veřejné moci nebo veřejných subjektů. Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.
Příklady rozsáhlého zpracování osobních údajů:
• zpracování údajů o pacientech v rámci běžné činnosti nemocnice
• zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
• zpracování údajů o aktuální zeměpisné poloze zákazníků
• zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
• zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
• zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:
• zpracování údajů o pacientech jednotlivým lékařem
• zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem

Pravidelné a systematické monitorování jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Uveďme opět pár příkladů:

• provozování telekomunikační sítě nebo telekomunikačních služeb
• cílení internetové reklamy pomocí e-mailu
• profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz)
• sledování polohy, například u mobilních aplikací
• věrnostní programy
• behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení
• kamerové systémy

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

SANKCE SPRÁVCŮ DAT

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

Desatero zpracování pro správce
(dle ÚŘADU NA OCHRANU OSOBNÍCH ÚDAJŮ)

Desatero zpracování pro správce je zestručnění základních pravidel ochrany osobních údajů, využitelné malými správci údajů, živnostníky či menšími podniky, coby základní jednoduchý návod, jak zacházet s osobními údaji.

1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.

2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.

3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.

4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.

5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad,
takové zpracování nelze nahradit souhlasem se zpracováním údajů.

6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.

7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.

8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.

9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).

10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.