Ochrana osobních údajů – GDPR

Od začátku letošního roku se čím dál častěji v různých médiích začala objevovat zkratka GDPR. Současně se s touto zkratkou vyrojily i různé poplašné zprávy, co nás čeká za nepříjemnosti s tímto pojmem spojené. Pojďme si vysvětlit, co tedy GDPR je a co nám skutečně přináší. GDPR je zkratka anglického názvu General Data Protection Regulation. Jedná se o Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Cílem tohoto nařízení je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo nařízení vyhlášeno dne 27. dubna 2016. Z uvedeného plyne, že GDPR není nic nového, co by se objevilo ze dne na den.

Účinnost GDPR nastala dne 25. 5. 2018. Od tohoto data se ochrana osobních údajů v České republice řídí tímto nařízením. Před nabytím účinnosti GDPR byla na území České republiky ochrana osobních údajů upravena zákonem č. 101/2000 Sb., o ochraně osobních údajů. Účinnost tohoto zákona skončila dne 25. 5. 2018. Od přijetí  GDPR měla Česká republika čas přijmout novou národní právní úpravu na ochranu osobních údajů, aby byla v souladu s GDPR. Bohužel se toto v daném čase, tzn. od dubna 2016 do května 2018, nepodařilo. Je-li přijata národní úprava ochrany osobních údajů, musí vycházet z evropského nařízení, ale vždy je dána možnost si určité oblasti v dané právní úpravě upravit odchylně od textu nařízení.

Nyní učiním drobnou odbočku a vysvětlím vám, jakým způsobem na Českou republiku dopadá evropská legislativa.

Cíle stanovené ve smlouvách, které uzavřely členské státy, naplňuje Evropská unie (dále jen EU) prostřednictvím několika druhů právních aktů. Některé z nich mají právní závaznost, jiné nikoli. Některé se týkají všech zemí Unie, jiné jen některých.

 

Nařízení

Nařízení je právně závazné. Platí v celém svém rozsahu v celé EU. Nařízení je nejúplnějším a nejbezprostřednějším opatřením v rámci nástrojů sbližování práva, který mají orgány EU k dispozici. Nařízení jsou součástí pramenů komunitárního práva EU. Komunitární právo je termín používaný jako označení právního systému Evropského společenství. Nařízení EU jsou pro členské státy závazná a přímo použitelná.

Jakým způsobem je nařízení závazné pro všechny státy EU si ukážeme na příkladu „Hořických trubiček“. Nařízení Evropské unie o zapsání do Rejstříku chráněných označení původu a chráněných zeměpisných označení zajišťuje, aby měl spotřebitel jistotu, že se jedná o skutečný originál. Nařízení je obecně platné a závazné pro všechny členské státy.

 

Směrnice

Směrnice je právní akt stanovující cíl, který musejí všechny země EU splnit. Je však na jednotlivých zemích, jakým způsobem formulují své příslušné vnitrostátní zákony a jak těchto cílů dosáhnou. Příkladem může být směrnice EU o právech spotřebitelů, která posiluje práva spotřebitelů v celé EU. Směrnice eliminuje skryté poplatky a náklady při nakupování na internetu, prodlužuje lhůtu, ve které mohou spotřebitelé odstoupit od kupní smlouvy.

 

Rozhodnutí

Rozhodnutí je závazné pro všechny, kterým je určeno. Může se jednat o členský stát EU nebo určitou obchodní společnost. Například komise vydala rozhodnutí o účasti EU v různých protiteroristických organizacích. Rozhodnutí se vztahuje pouze na tyto organizace.

 

Doporučení

Doporučení není závazné. Jestliže komise vydala doporučení, aby soudní orgány zemí EU více využívaly videokonferencí pro usnadnění přeshraniční spolupráce v soudních záležitostech, doporučení nemělo žádné právní důsledky. Prostřednictvím doporučení mohou orgány EU dát najevo svůj názor, mohou navrhnout určité kroky a není z nich vyvozována zákonná povinnost pro toho, komu je doporučení určeno.

 

Stanovisko

Pomocí „stanoviska“ se orgán EU může vyjádřit k určité otázce nezávazným způsobem. Není tím založena zákonná povinnost pro toho, komu je stanovisko určeno. Stanovisko může vydat hlavní orgán EU (Komise, Rada a Evropský parlament), Výbor regionů a Evropský hospodářský a sociální výbor. Zde uvedené dva výbory vydávají během legislativního procesu stanoviska k návrhům z pohledu regionů nebo hospodářství a sociální oblasti. Výbor regionů například vydal stanovisko k balíčku Čisté ovzduší pro Evropu.

Zde odbočka vysvětlující dopady přijaté legislativy EU na naši zemi končí a dál se budeme věnovat GDPR, vysvětlení pojmu zpracování a zabezpečení osobních údajů.

Nezbytným předpokladem pro zpracování údajů musí být existence právního důvodu, kterým by měl správce disponovat. Důvod musí být legitimní a nesmí být v rozporu s právními předpisy nebo morálkou. Zpracováním údajů se rozumí i pouhé uchovávání údajů. Kdo tedy shromažďuje, zpracovává a uchovává osobní údaje, musí jasně vymezit účel zpracování údajů. Odborová organizace primárně zpracovává údaje svých členů výhradně pro svou potřebu, tzn. pro informování o své činnosti, kterou pro své členy vykonává, pro kontrolu platby členských příspěvků. Odborová organizace musí v postavení správce a zpracovatele osobních údajů patřičně tyto osobní údaje zabezpečit v míře odpovídající rizikovosti zpracování. Je tedy nezbytné osobní údaje mít vždy pod kontrolou, aby se k nim fyzicky nedostal někdo, kdo nemá.

Zpracování má být konáno férově, korektně a transparentně. Zpracování nesmí nadměrně zasahovat do soukromí. Zpracování nesmí zasahovat do soukromí a nesmí být zpracováváno k jinému než uvedenému účelu. Osobní údaje se po naplnění účelu pro jejich zpracování likvidují.

GDPR v rámci EU stanovuje unifikovanou ochranu osobních údajů, a to v každé členské zemi.

Od roku 2000 byl součástí našeho právního řádu zákon, který reguloval a stanovoval povinnosti pro ochranu osobních údajů. Z uvedeného tedy plyne, že již 18 let jsou zde pravidla pro ochranu osobních údajů, pravidla, jak s nimi nakládat a jak je chránit. Abychom jako odborové organizace obstály před novou zákonnou úpravou, učinily jsme některá prevenční opatření.

Zastupitelstvo na svém zasedání 19. dubna 2018 schválilo doplnění Stanov OS ZPTNS, které byly schválen VI. sjezdem OS ZPTNS dne 25. 11. 2016. Konkrétně byl nově doplněn článek 8a. Obsahem nově doplněného článku jsou následující skutečnosti.

  • Odborová organizace je správcem osobních údajů.
  • Odborová organizace pro své účely shromažďuje tyto osobní údaje – jméno, příjmení, datum narození, bydliště, kontakt (může se jednat o tel. číslo, e-mailovou adresu).
  • Odborová organizace výhradně zpracovává osobní údaje pro svou potřebu. Účelem zpracování osobních údajů je kontrola úhrady členských příspěvků, informování o činnosti odborové organizace.
  • Osobní údaje jsou uchovávány po dobu trvání členství v odborové organizaci. Odborové organizace jsou povinny osobní údaje chránit takovým způsobem, aby nedošlo k jejich zneužití třetí osobou.
  • Základní organizace, koordinační výbor, podnikový výbor, která je sdružena v odborovém svazu, má zpracován záznam o činnosti zpracování, který je součástí jejich vnitřních předpisů.
  • Pokud by odborová organizace zpracovávala osobní údaje za jiným účelem než pro svou potřebu, je povinna vyžádat si souhlas. Souhlas musí být písemný, odvolatelný, subjekt údajů si musí být vědom, jakým způsobem s jeho údaji bude nakládáno, zdali budou poskytovány třetí straně, jak dlouho budou uchovány.

Odborový svaz přijal vnitřní směrnici č. 9/2018 – Ochrana osobních údajů, která se vztahuje na základní organizace sdružené v našem odborovém svazu a upravuje problematiku ochrany osobních údajů. Současně bylo základním organizacím doporučeno, aby si dle zaslaného vzoru „Záznamy správce o činnostech zpracování osobních údajů“ tuto listinu vyplnily a postupovaly v souladu s tam uvedenými pokyny. Do členské přihlášky byl doplněn souhlas se zpracováním osobních údajů.

Závěrem chci zdůraznit, že není nutné jakkoli podléhat panice, že se na nás valí mnoho dalších nových povinností. Ano, povinnosti při zpracování osobních údajů máme. S údaji musíme nakládat v souladu s účelem, pro který je shromažďujeme. Údaje neposkytujeme třetím osobám. Budeme-li se řídit doporučenými postupy, které jsou zde uvedeny, před novou právní úpravou obstojíme.