Lekce 1 - GDPR kompletně a lidsky - Úvod do nařízení

Vítejte v kurzu GDPR kompletně a lidsky. V jeho průběhu si vysvětlíme, jak v praxi funguje ochrana osobních údajů podle evropského nařízení GDPR, koho se týká a jaké povinnosti z něj vyplývají pro firmy, organizace, webové projekty i jednotlivce, kteří s osobními údaji pracují.

Pravidla GDPR si budeme překládat do praktických situací. Ukážeme si, kdy dává smysl souhlas, kdy se používají jiné právní důvody zpracování a jak se vyhnout častým zjednodušením, která se kolem GDPR objevují.

Postupně se seznámíme s hlavními oblastmi GDPR: základními principy ochrany osobních údajů, právy jednotlivců, povinnostmi organizací, bezpečným zpracováním údajů a praktickou dokumentací, která pomáhá pravidla GDPR zavést do běžného provozu.

V tomto tutoriálu si představíme, co GDPR je a proč vzniklo. Ukážeme si základní strukturu nařízení, vysvětlíme jeho působnost a projdeme několik klíčových pojmů, bez kterých se v dalších lekcích neobejdeme.

Kurz vznikl v rámci implementace GDPR na ITnetwork.cz, kdy jsme potřebovali nařízení nastudovat podrobněji, protože se veřejně dostupné výklady v té době často lišily. Vycházíme v něm přímo ze znění nařízení Evropského parlamentu a Rady (EU) 2016/679.

Minimální požadavky

Pro absolvování kurzu nejsou potřeba žádné předchozí právní znalosti. Všechny důležité pojmy si vysvětlíme postupně a na praktických příkladech. Kurz je určený pro každého, kdo chce porozumět tomu, jak s osobními údaji pracovat srozumitelně, bezpečně a v souladu s GDPR.

Nařízení GDPR

Nejprve si uveďme několik obecných informací o ochraně osobních údajů a samotném nařízení GDPR.

GDPR je zkratka pro General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů. Jde o evropské nařízení, které stanovuje pravidla pro zpracování osobních údajů fyzických osob.

GDPR bylo přijato v roce 2016 a v praxi se uplatňuje od 25. května 2018. V České republice na oblast ochrany osobních údajů dohlíží Úřad pro ochranu osobních údajů (ÚOOÚ), který publikuje další praktické informace, výklady a doporučení k ochraně osobních údajů.

Struktura nařízení

Text GDPR má v českém znění Úředního věstníku v běžném PDF vydání celkem 88 stran. Při práci s ním se budeme setkávat nejen se samotnými články nařízení, ale také s úvodní částí, která pomáhá pochopit jejich smysl a praktické použití.

Pro základní orientaci jsou důležité zejména tyto části:

• Recitály – Úvodní číslovaná odůvodnění nařízení. V českém textu je najdeme na začátku dokumentu v části uvedené slovy "vzhledem k těmto důvodům". Nečteme je jako samostatné povinnosti, ale pomáhají nám pochopit, proč jednotlivá pravidla vznikla a jak se mají články nařízení vykládat.
• Články nařízení – Vlastní právně závazná pravidla. Právě z nich vyplývají hlavní povinnosti správců a zpracovatelů i práva subjektů údajů.
• Navazující mechanismy – GDPR počítá také s kodexy chování, certifikacemi a dalšími nástroji, které mohou pomáhat prokazovat soulad s nařízením. Pro základní orientaci se k nim dostaneme až později.

Pro začátek je důležité vědět, že nařízení neřeší jednu izolovanou oblast, ale celý životní cyklus osobních údajů: od jejich získání přes používání a zabezpečení až po výmaz nebo předání jiné osobě.

Důležité články pro práci s uživatelskými údaji

Při praktické implementaci GDPR u webového portálu potřebujeme dobře nastavit hlavně to, jak uživatele informujeme o zpracování jejich údajů a jak budeme reagovat na jejich žádosti. Tyto situace řeší zejména články GDPR věnované transparentnosti, informační povinnosti a právům subjektů údajů:

• Článek 11 – Zpracování, které nevyžaduje identifikaci
• Článek 12 – Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
• Článek 13 – Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
• Článek 14 – Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
• Článek 15 – Právo subjektu údajů na přístup k osobním údajům
• Článek 16 – Právo na opravu
• Článek 17 – Právo na výmaz, tedy „právo být zapomenut“
• Článek 18 – Právo na omezení zpracování
• Článek 19 – Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
• Článek 20 – Právo na přenositelnost údajů
• Článek 21 – Právo vznést námitku
• Článek 22 – Automatizované individuální rozhodování, včetně profilování

Tento přehled není seznamem všech důležitých ustanovení GDPR. Jde hlavně o články, které jsou prakticky významné při práci s uživatelskými účty, profily, žádostmi uživatelů a informováním o zpracování osobních údajů.

Další části nařízení, například zásady zpracování, právní důvody, odpovědnost správce, zabezpečení nebo předávání údajů mimo EU, si vysvětlíme v samostatných lekcích.

Působnost GDPR

GDPR se vztahuje na zpracování osobních údajů fyzických osob. Typicky se tedy týká firem, organizací, úřadů, škol, spolků, e-shopů, webových služeb nebo jednotlivců, kteří s osobními údaji pracují v rámci podnikání nebo jiné organizované činnosti.

Nařízení se naopak nevztahuje na zpracování osobních údajů při čistě osobních nebo domácích činnostech. Pokud máme například v soukromém telefonu uložené kontakty na rodinu a přátele, nejde o situaci, kterou by GDPR běžně řešilo.

GDPR může dopadat i na subjekty, které nejsou usazené v Evropské unii. Pokud nabízíme zboží nebo služby osobám nacházejícím se v EU, případně sledujeme jejich chování, mohou se na nás pravidla GDPR vztahovat i tehdy, když firma sídlí mimo EU.

Související předpisy pro online služby

GDPR se zaměřuje na ochranu osobních údajů. Při provozu webu, aplikace nebo online služby ale mohou být důležité i další předpisy. Samotné GDPR výslovně uvádí, že nejsou dotčena pravidla směrnice 2000/31/ES o elektronickém obchodu, zejména pravidla odpovědnosti poskytovatelů zprostředkova­telských služeb.

Tato směrnice řeší například některé otázky poskytování online služeb, elektronického obchodu a odpovědnosti zprostředkovatelů za přenos, dočasné ukládání nebo hosting obsahu. V českém právu na ni navazuje zákon č. 480/2004 Sb., o některých službách informační společnosti.

Od 17. února 2024 je potřeba brát v úvahu také evropské nařízení Digital Services Act, které pravidla pro digitální služby dále rozvíjí. Řeší například nahlašování nelegálního obsahu, transparentnost moderace, pravidla pro online platformy a zvláštní povinnosti největších platforem a vyhledávačů.

Nařízení EU platí přímo ve všech členských státech. Směrnice EU stanoví cíl, kterého mají státy dosáhnout, ale do vnitrostátního práva se obvykle převádí národním zákonem. Proto GDPR jako nařízení používáme přímo, zatímco směrnice 2000/31/ES se do českého práva promítla například zákonem č. 480/2004 Sb.

V tomto kurzu se budeme soustředit hlavně na GDPR. Související předpisy zmíníme jen tam, kde pomáhají pochopit praktický dopad ochrany osobních údajů.

Slovník základních pojmů

Už víme, kde GDPR najdeme, jak je nařízení přibližně strukturované a na jaké situace se vztahuje. Abychom se o ochraně osobních údajů mohli bavit přesněji, vysvětlíme si několik základních pojmů, které GDPR používá.

Osobní údaj

Osobní údaj je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě. GDPR takovou osobu označuje jako subjekt údajů.

Identifikovaná osoba je člověk, kterého už přímo známe, například podle jména a příjmení. Identifikovatelná osoba je člověk, kterého můžeme určit nepřímo, například kombinací více údajů nebo pomocí určitého identifikátoru.

Mezi osobní údaje mohou patřit například jméno a příjmení, e-mailová adresa, telefonní číslo, adresa bydliště, uživatelské ID nebo účet, identifikační číslo, lokační údaje, IP adresa, fotografie nebo jiný údaj, podle kterého lze člověka přímo či nepřímo poznat.

V praxi tedy neřešíme jen údaje typu jméno, příjmení nebo rodné číslo. Osobním údajem může být i e-mailová adresa, IP adresa nebo kombinace údajů, která sama o sobě nevypadá jednoznačně, ale ve spojení s dalšími informacemi umožní konkrétní osobu určit.

Pokud tedy v systému ukládáme údaje, podle kterých lze uživatele přímo nebo nepřímo identifikovat, musíme s nimi zacházet podle pravidel GDPR.

Zpracování

Zpracování znamená prakticky jakoukoli operaci, kterou s osobními údaji provádíme. Nezáleží přitom na tom, zda údaje zpracováváme automatizovaně v systému, nebo ručně v evidenci.

V praxi jde například o získání údajů při registraci, jejich uložení do databáze, úpravu profilu uživatele, vyhledání nebo nahlédnutí do údajů, jejich použití pro poskytnutí služby, předání dodavateli, zpřístupnění jiné osobě, propojení s dalšími údaji, omezení zpracování nebo výmaz.

Zjednodušeně můžeme říct, že pokud s osobními údaji cokoli děláme, velmi pravděpodobně jde o jejich zpracování. GDPR se proto netýká jen aktivního používání údajů, ale i jejich uložení, archivace nebo smazání.

Omezení zpracování

GDPR pracuje také s pojmem omezení zpracování. Jde o situaci, kdy osobní údaje dál uchováváme, ale běžně je nepoužíváme.

Prakticky si to můžeme představit jako označení údajů za dočasně zmrazené. Údaje zůstávají uložené, ale nemáme s nimi provádět běžné operace, dokud důvod omezení trvá. Může k tomu dojít například tehdy, když subjekt údajů zpochybní přesnost svých údajů nebo vznese námitku proti zpracování.

Omezení zpracování tedy neznamená automatický výmaz. Znamená, že údaje zůstávají zachované, ale jejich použití je dočasně omezené.

Shrnutí

V úvodní lekci jsme si vysvětlili, co je GDPR a na jaké situace se vztahuje. Prošli jsme základní strukturu nařízení, důležité články pro práci s uživatelskými údaji a stručně jsme si ukázali, že při provozu online služby mohou být relevantní i další právní předpisy.

Na závěr jsme si vymezili první klíčové pojmy: osobní údaj, zpracování a omezení zpracování. Tyto pojmy jsou základem pro pochopení dalších pravidel GDPR.

V příští lekci, GDPR kompletně a lidsky - Slovník pojmů, si rozšíříme slovník pojmů GDPR. Zaměříme se zejména na profilování a pseudonymizaci.