Ochrana osobních údajů

Šablona:Infobox Osobní údaje

Ochrana osobních údajů je soubor právních předpisů, etických principů a technických opatření, jejichž cílem je chránit soukromí a osobnostní práva fyzických osob před neoprávněným shromažďováním, zpracováním, zveřejňováním a zneužíváním jejich osobních údajů. V digitálním věku se jedná o klíčovou oblast, která se neustále vyvíjí v reakci na nové technologie a společenské výzvy.

Historie ochrany osobních údajů sahá do doby, kdy se začalo mluvit o právu na soukromí. První zmínky o ochraně dat se objevují v souvislosti s právem na soukromí v 19. století, ale skutečný rozvoj nastal s nástupem informačních technologií a masivním zpracováním dat ve 20. století. V Evropě se jedním z prvních významných dokumentů stala Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva 108) Rada Evropy z roku 1981, která stanovila základní principy ochrany dat. Tato úmluva se stala vzorem a inspirací pro další navazující zákony. Významným milníkem bylo přijetí Směrnice o ochraně osobních údajů (Směrnice 95/46/ES) Evropské unie v roce 1995, která harmonizovala pravidla v členských státech. Její nástupce, Obecné nařízení o ochraně osobních údajů (GDPR – General Data Protection Regulation, Nařízení (EU) 2016/679), které vstoupilo v platnost 25. května 2018, představuje revoluční změnu v přístupu k ochraně dat a má globální dopad.

Nejdůležitějším právním předpisem v Evropské unii a Evropském hospodářském prostoru je Obecné nařízení o ochraně osobních údajů (GDPR). Toto nařízení klade důraz na následujících sedm principů:

• Zákonnost, korektnost a transparentnost: Zpracování osobních údajů musí být prováděno spravedlivě, zákonně a transparentně vůči subjektu údajů. Správce musí mít řádný právní důvod pro zpracování a jasně informovat subjekty o tom, jak jsou jejich data používána.
• Účelové omezení: Osobní údaje musí být shromažďovány pouze pro konkrétní, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
• Minimalizace údajů: Zpracovávané údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.
• Přesnost: Osobní údaje musí být přesné a v případě potřeby aktualizovány. Správce musí přijmout veškerá přiměřená opatření, aby nepřesné osobní údaje byly bezodkladně vymazány nebo opraveny.
• Omezení doby uložení: Údaje musí být uchovávány po dobu nezbytně nutnou pro dané účely. Po uplynutí této doby by měly být vymazány nebo anonymizovány.
• Integrita a důvěrnost (zabezpečení): Zajištění odpovídajícího zabezpečení osobních údajů, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, a to pomocí vhodných technických nebo organizačních opatření.
• Odpovědnost (accountability): Správce je odpovědný za dodržování všech principů a musí být schopen toto dodržování doložit. To zahrnuje vedení záznamů o činnostech zpracování, provádění posouzení vlivu na ochranu osobních údajů a jmenování pověřence pro ochranu osobních údajů.

Kromě GDPR existují v České republice i další navazující předpisy, například Zákon o zpracování osobních údajů (zákon č. 110/2019 Sb.), který doplňuje GDPR a upravuje některé specifické oblasti národní legislativy, jako je například věková hranice pro udělení souhlasu dítětem (15 let) nebo výjimky z ukládání sankcí pro orgány veřejné moci. Tento zákon zrušil předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů.

V kontextu ochrany osobních údajů se rozlišují tři hlavní role:

• Subjekt údajů: Fyzická osoba, které se osobní údaje týkají. Má řadu práv, jako je právo na přístup k údajům, právo na opravu, právo na výmaz (právo být zapomenut), právo na omezení zpracování, právo na přenositelnost údajů a právo vznést námitku.
• Správce: Subjekt (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt), který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Správce nese primární odpovědnost za dodržování GDPR.
• Zpracovatel: Subjekt, který zpracovává osobní údaje pro správce a podle jeho pokynů. Může jím být například poskytovatel cloudových služeb, marketingová agentura nebo mzdová účetní firma. Zpracovatel jedná pouze na základě pokynů správce a nesmí určovat vlastní účely zpracování. Mezi správcem a zpracovatelem musí být uzavřena písemná smlouva.

Mnoho organizací má také pověřence pro ochranu osobních údajů (DPO – Data Protection Officer), který dohlíží na dodržování pravidel ochrany dat, poskytuje poradenství a slouží jako kontaktní místo pro subjekty údajů a dozorové orgány. Jmenování DPO je povinné pro orgány veřejné moci a subjekty, jejichž hlavní činnosti spočívají v rozsáhlém systematickém monitorování subjektů údajů nebo zpracování zvláštních kategorií údajů. DPO musí být jmenován na základě svých profesních kvalit a musí být schopen vykonávat svou funkci nezávisle a mít přímý přístup k vedení organizace.

Ochrana osobních údajů vyžaduje implementaci vhodných technických a organizačních bezpečnostních opatření k zajištění důvěrnosti, integrity, dostupnosti a odolnosti zpracovatelských systémů a služeb. Mezi tato opatření patří například šifrování, pseudonymizace, anonymizace, řízení přístupu, pravidelné testování a zálohování. Důležitým principem je také „privacy by design“, tedy zohlednění ochrany dat již při návrhu systémů a procesů.

I přes tato opatření dochází k bezpečnostním incidentům a únikům dat. V takových případech je správce povinen bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, oznámit tuto skutečnost dozorovému orgánu. Oznámení musí obsahovat povahu incidentu, kategorie a přibližný počet dotčených subjektů a záznamů, kontaktní údaje pověřence a popis pravděpodobných důsledků a přijatých opatření. V případě, že únik dat pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, je správce povinen informovat i samotné subjekty údajů, a to bez zbytečného odkladu. Tato povinnost odpadá, pokud správce zavedl účinná technická opatření (např. šifrování), která zajišťují, že riziko bylo eliminováno. Zpracovatel je povinen oznámit porušení zabezpečení správci bez zbytečného odkladu.

Ochrana osobních údajů má globální rozměr. Zatímco GDPR je standardem v Evropské unii, mnoho dalších zemí po celém světě přijalo podobné právní úpravy nebo je má v plánu. Příkladem jsou:

• Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) v USA (platný od ledna 2020, s novelizací CPRA v roce 2023). Ten dává spotřebitelům právo vědět, jaká data jsou o nich shromažďována, právo na jejich výmaz a právo odmítnout prodej dat.
• Lei Geral de Proteção de Dados (LGPD) v Brazílii (platný od září 2020). Je podobný GDPR v mnoha aspektech a reguluje zpracování osobních údajů v Brazílii.
• Zákon o ochraně osobních údajů Čínské lidové republiky (PIPL) v Číně (platný od listopadu 2021). Jedná se o jeden z nejpřísnějších zákonů na ochranu dat v Číně.

Mezinárodní předávání dat je proto komplexní oblastí, která vyžaduje dodržování specifických pravidel. Předávání osobních údajů do zemí mimo Evropský hospodářský prostor je možné pouze tehdy, pokud je v dané třetí zemi zajištěna odpovídající úroveň ochrany, která je v zásadě rovnocenná s úrovní ochrany v EU. To může být konstatováno prostřednictvím rozhodnutí Evropské komise o odpovídající ochraně (např. pro USA existuje od července 2023 Data Privacy Framework). Pokud takové rozhodnutí neexistuje, musí správci a zpracovatelé poskytnout vhodné záruky, nejčastěji prostřednictvím standardní smluvní doložky (SCCs – Standard Contractual Clauses), které byly aktualizovány v roce 2021. Po rozsudku Soudního dvora Evropské unie ve věci Schrems II z roku 2020 je navíc nutné posoudit právní řád třetí země a případně přijmout doplňková opatření k zajištění odpovídající ochrany.

Představte si, že vaše osobní údaje jsou jako vaše věci ve škole – váš batoh, sešity nebo hračky. Ochrana osobních údajů je jako pravidla, která říkají, kdo si může vaše věci vzít, kdo se na ně může podívat a co s nimi může dělat. Například, když si půjčíte knížku z knihovny, knihovna ví, že jste si ji půjčili. Ale neměla by říkat všem ostatním, jaké knihy čtete, nebo prodávat seznam vašich přečtených knih. To by bylo jako, kdyby vaše učitelka vyvěsila na nástěnku seznam všech vašich známek, aby si je mohl přečíst kdokoli. GDPR je jako velká kniha pravidel, která říká firmám a organizacím, jak se mají chovat k vašim "věcem" (údajům). Říká jim, že musí být opatrné, říkat vám, co s vašimi údaji dělají, a dávat vám možnost říct "ne", když s něčím nesouhlasíte. Takže chrání vaše soukromí a pomáhá vám mít kontrolu nad tím, co se s vašimi informacemi děje.

• Úřad pro ochranu osobních údajů
• GDPR - Úplné znění nařízení
• EUR-Lex - Přístup k právu Evropské unie