Desatero omylů o GDPR | 1. VOX a.s. – školení, kurzy, semináře

Tato webová stránka používá cookies

Ke zlepšení fungování webové stránky, personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze návštěvnosti naší webové stránky využíváme soubory cookies. Informace o tom, jak náš web používáte, sdílíme se svými partnery pro sociální média, inzerci a analýzy, jakož i s dalšími obchodními partnery. Partneři tyto údaje mohou zkombinovat s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

Nutné (funkční) soubory cookies činí naši webovou stránku použitelnou umožněním základních funkcí, jako jsou navigace stránky a přístup k zabezpečeným sekcím webové stránky. Bez těchto souborů by naše webová stránka nemohla správně fungovat.

Název Účel Poskytovatel Platnost
ASP.NET_SessionId jedinečný identifikátor relace a je používán k ukládání dočasných dat relace uživatele (např. pro předvyplnění formulářů dříve zadanými daty od uživatele) www.vox.cz Session
sid jedinečný identifikátor relace a je používán k ukládání dočasných dat relace uživatele (např. pro předvyplnění formulářů dříve zadanými daty od uživatele) www.imedia.cz 29 dní
tempUUID jedinečný identifikátor relace a je používán k ukládání dočasných dat relace uživatele (např. pro předvyplnění formulářů dříve zadanými daty od uživatele) www.vox.cz Session
eucookiesbar ukládá informaci o souhlasech udělených z panelu; informace, že stránka používá cookies www.vox.cz 1 rok
Statistické soubory cookies nám ukazují, jak návštěvníci používají naše webové stránky. Tyto soubory sbírají a sdělují informace anonymně.

Název Účel Poskytovatel Platnost
_ga registruje jedinečné ID, které se používá ke generování statistických údajů o tom, jak návštěvník používá web www.vox.cz 2 roky
_gat používá se službou Google Analytics k získání informace o rychlosti požadavku www.vox.cz Session
_gid registruje jedinečné ID, které se používá ke generování statistických údajů o tom, jak návštěvník používá web www.vox.cz Session
_pk_id# shromažďuje anonymní statistiky o návštěvách uživatelů na webu, například počet návštěv, průměrný čas strávený na webu a stránky, které byly přečteny www.vox.cz 1 rok
_pk_ses# používá platformu Piwik Analytics pro sledování požadavků na stránky od návštěvníka během relace www.vox.cz Session
optimizelyBuckets Uloží nastavení pro experimenty s optimalizovanými uživatelskými zkušenostmi i pro varianty, které návštěvník získal. Tím je zajištěno, že návštěvník stejným způsobem změní stejnou variaci, a to i během několika návštěv. www.vox.cz 179 dní
optimizelyEndUserId Používá se k měření toho, jak vybraní uživatelé reagují na cílené změny obsahu a funkčnosti webových stránek, aby zjistili, jaká variace je nejúčinnější, pokud jde o konverzi uživatelů na zákazníky. www.vox.cz 179 dní
optimizelyPendingLogEvents Používá se společností Optimizely jako mezipaměť mezi akcemi uživatele mezi sledováním hovorů. www.vox.cz Session
optimizelySegments Používá se Optimizely k ukládání informací o publiku a dimenzích uživatele (např. Prohlížeč, kampaň, mobil, typ zdroje, vlastní dimenze). www.vox.cz 179 dní
Marketingové soubory cookies sledují návštěvníky napříč webovými stránkami za účelem zobrazení pro ně relevantních a potenciálně zajímavých reklam.

Název Účel Poskytovatel Platnost
fr Používá společnost Facebook k poskytování řady reklamních produktů, jako je nabízení cen v reálném čase od inzerentů třetích stran. www.facebook.com 3 měsíce
IDE Služba Google DoubleClick se používá k registraci a hlášení akcí uživatelů webu po zobrazení nebo kliknutí na reklamu jednoho z inzerentů s cílem měřit účinnost reklamy a prezentovat cílené reklamy uživateli. www.doubleclick.net 1 rok
optimizely_data$$first_session Používá se pro cílenou reklamu www.vox.cz Session
pagead/1p-user-list/1053404385 nespecifikováno www.google.com Session
r/collect Tento soubor cookie slouží k odesílání dat do Google Analytics o zařízení a chování návštěvníka. Sleduje sledování v zařízeních a marketingových kanálech. www.doubleclick.net Session
retargeting nespecifikováno www.imedia.cz Session
test_cookie Používá se k ověření, zda prohlížeč uživatele podporuje cookies. www.doubleclick.net Session
tr nespecifikováno www.facebook.com Session
pxstats/piwik.php Používá se pro cílenou reklamu. www.ifirmy.cz Session
inco_session_temp_browser Používá se pro cílenou reklamu. my.incomaker.com 68 dní
incomaker_p Používá se pro cílenou reklamu. my.incomaker.com 68 dní
c##11e7be80-8735-d14e-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
c##11e7be80-8735-e42a-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
k##11e7be80-8735-d14e-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
k##11e7be80-8735-e42a-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
p##11e7be80-8735-d14e-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
p##11e7be80-8735-e42a-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
p##11e7be80-8736-ae47-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com Session
pc##11e7be80-8754-70f7-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com Session
pc##11e7be80-8754-874d-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
permId Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pk##11e7be80-8754-70f7-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pk##11e7be80-8754-874d-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pl##11e7be80-8735-d14e-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pl##11e7be80-8735-e42a-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pp##11e7be80-8754-70f7-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
pp##11e7be80-8754-874d-b8ed-525400f11789 Používá se pro cílenou reklamu. my.incomaker.com 68 dní
_____tempSessionKey_____ Používá se pro cílenou reklamu. incomaker.com 3 roky

Totožnost správce: 1. VOX a.s., IČO: 27204987, se sídlem Praha 1, Senovážné náměstí 978/23, PSČ 110 00, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl B, vložka 9706 ("správce" nebo "společnost").

Kontaktní údaje správce: (i) kontaktní adresa: Praha 1, Senovážné náměstí 978/23, PSČ 110 00, (ii) kontaktní e-mail: vox@vox-kurzy.cz, (iii) kontaktní telefon: 777 741 777.

Webová stránka správce 1. VOX a.s. používá cookies ke zlepšení fungování webové stránky, personalizaci obsahu a reklam, poskytování funkcí sociálních médií a analýze návštěvnosti webové stránky. Informace o Vašem způsobu užívání webové stránky společnosti sdílíme se svými partnery pro sociální média, inzerci a analýzy, jakož i s dalšími obchodními partnery. Naši obchodní partneři mohou tyto údaje zkombinovat s dalšími informacemi, které jste jim předtím poskytli nebo které získali v důsledku toho, že používáte jejich služby.

Webová stránka správce 1. VOX a.s. zpracovává následující kategorie osobních údajů: údaje o užívání stránek, údaje o zařízení (identifikace zařízení, IP adresa, MAC adresa, údaje o operačním systému a nastavení zařízení), log (např. údaje o vyhledávání na webových stránkách, údaje o době používání stránek, informace uložené v cookies), resp. další údaje (údaje o užívání stránek).

Bez Vašeho souhlasu správce 1. VOX a.s. zpracovává osobní údaje v rozsahu statistických a/nebo nutných (funkčních) cookies na základě právních důvodů (i) splnění smlouvy, (ii) oprávněný zájem správce (doba uložení osobních údajů: po dobu 12 měsíců).

S Vaším souhlasem správce 1. VOX a.s. zpracovává osobní údaje v rozsahu marketingových cookies na základě právního důvodu: souhlas udělený subjektem údajů (doba uložení osobních údajů: osobní údaje na základě souhlasu jsou zpracovány po dobu 3 let).

K automatizovanému rozhodování vč. profilování dochází při zpracování osobních údajů u vybraných typů cookies (zejména marketingové cookies). Automatizované rozhodování, a to zejména profilování, bude prováděno zejména formou (postupem) logických a/nebo algoritmických operací, kdy náš systém dle Vašeho využívání produktů, služeb a webových stránek společnosti, případně Vašeho chování a Vašich osobních preferencí, umožní, aby Vám byly zasílány pro Vás relevantní personalizované nabídky obchodu, služeb a produktů naší společnosti, o nichž se domníváme, že budou pro Vás zajímavé. Významem automatizovaného rozhodování, a to zejména profilování, tak je, že nám umožní zasílat Vám personalizované nabídky obchodu, služeb a produktů naší společnosti, které by Vás mohly zajímat. V této souvislosti věříme, že se nám pomocí personalizovaných nabídek obchodu, služeb a produktů společnosti podaří obracet se na Vás s nabídkami, které Vás budou oslovovat a shledáte tyto zajímavými. Důsledkem automatizovaného rozhodování, a to zejména profilování, bude postup, kdy od nás v rámci personalizovaných nabídek budete dostávat pro Vás relevantní obchodní sdělení, neboť našim cílem je zasílat Vám takové personalizované nabídky obchodu, produktů a služeb naší společnosti, které pro Vás budou zajímavé.

Některé soubory cookies jsou umístěny službami třetích osob, které se objevují na naší webové stránce.

Společnost je oprávněna ukládat nutné (funkční) a statistické cookies na Vašem zařízení automaticky. Ostatní typy souborů cookies používáme s Vaším souhlasem. Váš souhlas je udělen prostřednictvím nastavení Vašeho prohlížeče.

Ve svém prohlížeči můžete nastavit blokování souborů cookies (odvolání souhlasu prostřednictvím nastavení Vašeho prohlížeče). Máte právo kdykoli souhlas se zpracováním osobních údajů odvolat. Odvoláním souhlasu není dotčeno zpracování Vašich osobních údajů před jeho odvoláním. V důsledku zakázání (blokování) souborů cookies nemusí webové stránky společnosti fungovat dle Vašich představ. Některé z prohlížečů však zákaz (blokování) souborů cookies nemusí umožňovat.

Naše stránky pracují s následujícími cookies:

  • Nunté (funkční): funkční soubory cookies činí naši webovou stránku použitelnou umožněním základních funkcí, jako jsou navigace stránky a přístup k zabezpečeným sekcím webové stránky. Bez těchto souborů by naše webová stránka nemohla správně fungovat;
  • Statistické: statistické soubory cookies nám ukazují, jak návštěvníci používají naše webové stránky. Tyto soubory sbírají a sdělují informace anonymně;
  • Marketingové: marketingové soubory cookies sledují návštěvníky napříč webovými stránkami za účelem zobrazení pro ně relevantních a potenciálně zajímavých reklam.

Předávání osobních údajů do třetích zemí: V rámci uvedeného zpracování mohou být Vaše osobní údaje předávány do tzv. třetích zemí. Ve vztahu ke zpracování osobních údajů ve třetích zemích může docházet k předávání na území, které bylo určeno Evropskou komisí jako území zajišťující odpovídající úroveň ochrany podle platných právních předpisů o ochraně osobních údajů, případně je aplikováno předávání osobních údajů založené na vhodných zárukách, a to zejména uzavírání standardních smluvních doložek o ochraně údajů či aplikace zásad systému "Privacy Shield" při předávání osobních údajů do USA, resp. jiných záruk/opatření pro předávání osobních údajů do USA.

Příjemce, kategorie příjemců: Vaše osobní údaje mohou být předány zejména následujícím kategoriím příjemců:

  • orgány veřejné moci a další subjekty (třetí osoby), jimž má správce povinnost Vaše osobní údaje sdělit, resp. které jsou oprávněny Vaše osobní údaje od správce požadovat (např. správce daně, celní správa, soudy, orgány činné v trestním řízení atd.);
  • třetí osoby, s nimiž má správce uzavřenou písemnou smlouvu o zpracování osobních údajů, tj. zpracovatelé (např. poskytovatelé IT služeb atd.);
  • obchodní partneři správce, zejm. poskytovatelé jednotlivých uvedených cookies (reklamní, analytické, marketingové služby apod.)

Více informací o zpracování osobních údajů naleznete v poučení o zpracování osobních údajů na https://www.vox.cz/osobni-udaje.html.

Desatero omylů o GDPR

Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).

Den, kdy nabude účinnosti nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), se neúprosně blíží. Připravují se na něj správci i zpracovatelé osobních údajů, po celé republice se pořádají nejrůznější odborné konference, sdělovací prostředky téma GDPR stále častěji zmiňují.

Podobným tempem, jakým narůstá zájem o GDPR, se však podle zkušeností Úřadu objevují nepřesnosti či zavádějící až mylné informace, týkající se obecného nařízení o ochraně osobních údajů.

Na základě zkušeností pracovníků Úřadu z odborných akcí a zjištění z veřejně dostupných zdrojů byl sestaven tento přehled opakovaně se vyskytujících nepravd a nepřesností. Pořadí bodů vychází ze systematiky obecného nařízení o ochraně osobních údajů (dále v tomto textu také „obecné nařízení“) a nevypovídá o jejich závažnosti.

1. Odkazování na obecné nařízení jako na směrnici

Ačkoli někdy je nepřesné označení neškodné, nelze však rezignovat na uvádění správné formy právního předpisu, který bude nově upravovat právní rámec ochrany osobních údajů. Základním důvodem pro korektní označování nového právního předpisu pro ochranu osobních údajů, který k 25. květnu 2018 v převážné části hmotné úpravy nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále zde jen „zákon o ochraně osobních údajů“), je působnost evropských předpisů daná v podstatném právě již druhovým označením předpisu. Obecně platí - byť s dílčími odchylkami - že nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné a naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.  Obecné nařízení je ale příkladem nařízení, které současně poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně přesnějšího určení některých podmínek.

Odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být nevhodně zavádějící i proto, že současně s ním byla přijata opravdu také směrnice o ochraně osobních údajů, a to směrnice Evropského parlamentu a Rady EU 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, zkráceně neoficiálně nazývaná trestněprávní směrnice o ochraně osobních údajů. Odlišnost je ve věcné působnosti obou předpisů, jež souhrnně vytvářejí nový rámec ochrany osobních údajů v Evropské unii; působnost směrnice 2016/680 zahrnuje zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců

Označování obecného nařízení jako právního aktu EU spouštějícího revoluci mělo svůj smysl v době jeho přípravy a oficiálního projednávání, jež započalo v roce 2012 a skončilo v roce 2016. Silné výrazy upoutávaly pozornost a do určité míry zpřehledňovaly objemný text. Po skončení vyjednávání je na místě zůstat v mezích přijaté úpravy a používat přiměřené hodnotící výrazy, a to i tam, kde původní cíle byly ambicióznější.

Skutečnost je taková, že jedním ze základních znaků ochrany osobních údajů podle obecného nařízení je kontinuita - nařízení navazuje ve sledovaných cílech a obsahových zásadách zpracování a ochrany osobních údajů na směrnici 95/46/ES a sleduje překonání stávající roztříštěnosti v provádění ochrany osobních údajů v Unii soudržným a jednotným uplatňováním pravidel ochrany osobních údajů.  Z jednoduchého porovnání obsahu obecného nařízení a směrnice 95/46/ES je zřejmé, že jsou používány stejné definice klíčových pojmů (osobní údaj, subjekt údajů, zpracování - čl. 2 směrnice 95/46/ES a čl. 4 obecného nařízení) a obdobně formulované, obsahově velmi blízké, zásady zpracování (čl. 5 a 6 obecného nařízení a čl. 6 a 7 směrnice 95/46/ES). Pravidla pro ty, kdo osobní údaje zpracovávají, tedy správce a zpracovatele, jsou podrobnější a vesměs přesnější než ve výrazně stručnější směrnici 95/46/ES a zákoně o ochraně osobních údajů. Správcům jsou ukládány některé nové povinnosti - ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a ohlašování téhož dotčeným subjektům údajů a pro určité správce též povinnost jmenovat pověřence pro ochranu osobních údajů (vizte korigované tvrzení č. 5 níže). Oproti současné obecné formulaci povinností při zabezpečení zpracování v § 13 zákona o ochraně osobních údajů jsou v obecném nařízení akcentovány „technické prostředky“ a jmenovitě určené technologie - pseudonymizace a šifrování, obnova dostupnosti, pravidelné testování a hodnocení účinnosti zavedených opatření.  Podstatné je i to, že ve všech povinnostech správců a zpracovatelů se promítají konstrukční zásady záměrné a standardní ochrany a přístupu založeného na riziku, které se uplatňují rovněž současně - např. v povinnosti posuzovat vliv jednotlivých zpracování na ochranu osobních údajů.

Také práva těch, jejichž osobní údaje musí být chráněny, tedy subjektu údajů podle směrnice 95/46/ES jsou zachována a nově upravena podrobněji, s tím, že jedinou skutečnou novinkou je právo na přenositelnost údajů podle čl. 20 obecného nařízení. Jako novinka v právech subjektu údajů je ovšem v současné době v České republice prezentováno právo na výmaz podle článku 17 obecného nařízení, často pod alternativním názvem „právo být zapomenut“. Novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v zákoně o ochraně osobních údajů od jeho schválení v roce 2000. Svého práva podle § 21 odst. 1 a 2 subjekty údajů v České republice běžně využívají.

3. Rozšiřuje se definice osobního údaje

Nejčastěji se toto tvrzení objevuje v podobě, že osobními údaji dosud jsou pouze údaje identifikační, popř. přímo identifikující subjekt údajů. Někdy se změna dokládá na rozsudku Soudního dvora Evropské unie, v němž Soudní dvůr konstatoval, že dynamická IP adresa představuje osobní údaj ve smyslu směrnice 95/46/ES. Právě tento rozsudek však je dokladem toho, že osobní údaje nejsou omezeny na údaje přímo identifikující nějaký subjekt údajů ani dnes. Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů.

Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů, jako jsou např. právě internetové technologie. IP adresa je osobním údajem vždy, když se vztahuje k určené nebo určitelné osobě, ne od doby vynesení rozsudku Soudního dvora EU, ale od prvního použití IP adresy v provozu. GDPR již také nemá podmínku systematičnosti zpracování osobních údajů.

4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody

Takové doporučení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků, nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování (s nimiž nelze souhlas zaměňovat), např. sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů. V obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dnes je alespoň dle textu zákona důvodem/titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji. Optické srovnání významu uznávaných právních důvodů neznamená snížení váhy souhlasu dotčeného subjektu údajů; jedním ze základních projevů toho je, že souhlas se zpracováním se skutečně uplatní jen tam, kde mohou být naplněny jeho základní znaky, totiž svobodnost a informovanost. Souhlas může subjekt údajů kdykoli odvolat.

Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení - počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů.

5. Šifrování je povinné

Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření.

Naopak, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje, se obecné nařízení výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Šifrování je uvedeno jako jedno z vhodných opatření („případně včetně /…/ šifrování osobních údajů“).  Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.

6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů

Pověřenec pro ochranu osobních údajů je jedním ze nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou: zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají; jinými slovy, správci provádějící jiná zpracování pověřence pro ochranu osobních údajů jmenovat nemusí.

7. Pověřenec musí mít osvědčení (certifikát)

Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Obecné nařízení ani nedává prostor k tomu, aby formu ověření kvalit nebo nějaké další parametry kvalifikace a osobní způsobilosti stanovily prováděcím předpisem buď Komise (EU) nebo členský stát.  Poté, co je pověřenec správcem nebo zpracovatelem jmenován, musí mu ten, kdo ho jmenoval a u koho pověřenec pro ochranu osobních údajů působí, kromě jiného poskytovat zdroje nezbytné k udržování jeho odborných znalostí.

Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.

8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky

Obecné nařízení ukládá tomu, kdo jmenuje pověřence pro ochranu osobních údajů, nepříliš určitou povinnost - učinit tak na základě profesních kvalit jmenované osoby, jež dále vymezuje jako „zejména na základě [jejích] odborných znalostí práva a praxe v oblasti ochrany osobních údajů a [její] schopnosti plnit úkoly stanovené [tímto nařízením].“ Jak povinnosti spojené se jmenováním pověřence a jeho fungováním u správce nebo zpracovatele chápat, podrobněji vysvětlují mj. vodítka Pracovní skupiny podle čl. 29 směrnice 95/46/ES k funkci pověřence pro ochranu osobních údajů, zpřístupněná v originálním anglickém znění a neoficiálním českém překladu jinde na této webové stránce v aktuální verzi. Na výše zmiňovaných akcích i v médiích se požadavky na osoby připadající v úvahu jako budoucí pověřenci zdůrazňují a někdy - sice „měkce“, ale přesto - zveličují nebo zintenzivňují.  U některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat.  Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.

Výklad nároků je tak výhradním úkolem jmenujícího správce nebo zpracovatele, stejně tak jako trvalá podpora činnosti pověřence poskytováním zdrojů a prostředků nutných k výkonu jeho funkce.

9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly

Tak tomu není; tvrzení vychází z posunutí významu omezující podmínky, že správce a zpracovatel jsou povinni zajistit, aby pověřenec nedostával žádné pokyny týkající se výkonu úkolů, které mu ukládá obecné nařízení, a že není v souvislosti s plněním těchto svých úkolů propuštěn nebo sankcionován.

Úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.

10. Nově hrozí správcům a zpracovatelům pokuty dle obratu

Obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Zatímco v některých členských státech včetně České republiky dozorové úřady pokuty ukládají, v jiných členských státech EU (např. Dánsko) tomu tak dosud není.  Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby.

Horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se (z trestu).

26. 1. 2018 | Zdroj: Úřad pro ochranu osobních údajů


Absolvujte kurz GDPR s odborníky na ochranu osobních údajů:

Mgr. Bc. David Burian (vedoucí registračního oddělení ÚOOÚ)

18. 4. 2018 Ochrana osobních údajů ve světle výkladových stanovisek pracovní skupiny WP 29

29. 5. 2018 Ochrana osobních údajů – představení nového zákona o zpracování osobních údajů a výklad obecného nařízení


Mgr. Vanda Foldová
(spoluautorka odborné literatury v oblasti ochrany osobních údajů)

16. 3. 2018 Ochrana osobních údajů dle obecného nařízení o ochraně osobních údajů (GDPR)


Kontakt
1. VOX a.s., Senovážné náměstí 978/23, 110 00 Praha 1,
telefon: 226 539 670, 777 741 777, e-mail: vox@vox-kurzy.cz
Rychlá navigace
Zobrazit mobilní verzi
Všechna práva vyhrazena 1. VOX a.s.