GDPR - Otázky se ptáte sami

Náš expert odpovídá na Vaše dotazy

 

Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), které vstoupí v platnost 25. května 2018, má značný dopad na způsob, jakým právnické osoby, fyzické osoby podnikající a další subjekty mohou nakládat s osobními údaji svých zákazníků, fyzických osob, jež jsou subjekty osobních údajů. Mnoho z nich se tak ocitá před nelehkým úkolem uvést své podnikání do shody s požadavky Evropské unie na ochranu osobních údajů, zakotvené v GDPR.

Grégory Gitsels, pověřenec pro ochranu osobních údajů společnosti OVH, odpovídá na nejčastěji kladené dotazy týkající se dopadu GDPR na fungování společností a dalších subjektů, a souhrnu opatření, která je za účelem dodržování GDPR nutné přijmout.

Co je to GDPR?

Obecné nařízení o ochraně osobních údajů je nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a jeho dodržování, přijatým dne 27. dubna 2016. Ustanovení vyplývající z GDPR se vztahují na všechny členské státy Evropské unie. Ačkoli bylo GDPR Evropským parlamentem přijato již 27. dubna 2016, právní účinnosti nabývá až dnem 25. května 2018. Smyslem této dvouleté lhůty bylo především poskytnout soukromým i veřejným organizacím dostatek času na seznámení se s obsahem nařízení a na přípravy spojené s přijetím všech nutných opatření pro uvedení svého podnikání či jiné činnosti do shody s jeho obsahem.

Hlavním smyslem GDPR je ochrana fyzických osob v souvislosti se zpracováním jejich osobních údajů. Nařízení určuje jednotlivá práva a povinnosti vztahující se na všechny subjekty soukromého a veřejného práva, které zpracovávají údaje osobního charakteru.

GDPR se vztahuje na všechny veřejné organizace, právnické osoby a fyzické osoby podnikající, které zpracovávají osobní údaje svých klientů, členů a zaměstnanců.

Jaký je význam GDPR?

GDPR je zkratkou vycházející z anglického pojmu General data protection regulation (do češtiny překládáme jako Obecné nařízení o ochraně osobních údajů).

Pojem GDPR přímo odkazuje na Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a jeho dodržování. GDPR zároveň ruší předchozí směrnici Evropského parlamentu a Rady č. 95/46/ES.

Co tvoří zneužití osobních údajů?

Když přijde řeč na zneužití osobních údajů, většině lidí se ihned vybaví situace, kdy se jejich osobní údaje dostávají do rukou neoprávněné třetí strany, která je hodlá použít pro nekalé účely (např. útok hackerů). Zatímco se tento případ samozřejmě za zneužití osobních údajů považuje, je nutno upozornit, že tento pojem má mnohem širší význam. G29 (orgán EU zahrnující nejdůležitější autority na poli ochrany osobních údajů) definuje pojem zneužití osobních údajů následovně:

 

  • Ztráta přístupu k osobním údajům
  • Narušení integrity osobních údajů
  • Narušení důvěrnosti osobních údajů

 

Zneužití osobních údajů se tedy nevztahuje pouze na únik údajů, ale zároveň i na jejich nenávratnou ztrátu.

GDPR zavádí zcela nové povinnosti na poli ochrany osobních údajů, a to jak pro správce osobních údajů, tak pro jejich zpracovatele.

 

Jaké zákony ochranu osobních údajů upravují?

Existuje hned několik regulativních textů, upravujících způsob ochrany osobních údajů na obecné i specifické úrovni:

 

  • Na mezinárodní úrovni: Úmluva Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No. 108). Svým podpisem se k této úmluvě může připojit jakákoli země na světě.
  • V Evropě: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), stejně tak jako Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů.
  • Na úrovni jednotlivých států: mnoho zemí přijalo svá vlastní opatření týkající se ochrany osobních údajů. Tak je tomu u všech členských zemí Evropské unie.
Jak je pojem osobních údajů v GDPR definován?

Podle článku 4 GDPR se "osobními údaji“ rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat..."

Jinými slovy, osobní údaj je takový údaj či skupina údajů, na jehož základě lze identifikovat fyzickou osobu.

Za identifikovatelný údaj se považuje takový údaj, jehož přečtením nelze fyzickou osobu identifikovat bezprostředně, avšak lze tak učinit po důkladném pátrání (jeho pomocí). Jako příklad lze uvést e-mailovou adresu.

Co jsou to citlivé osobní údaje?

Pojem „citlivých údajů“ je v GDPR úzce provázán s pojmem „zpracování zvláštních kategorií osobních údajů“. Na citlivé údaje se vztahují zvláštní pravidla, jelikož jejich zpracování je z principu zakázáno.

Za citlivé údaje obecně považujeme:

  • Údaje o zdravotním stavu či sexuální orientaci fyzické osoby;
  • údaje o rasovém či etnickém původu fyzické osoby;
  • údaje o politickém, náboženském či filozofickém smýšlení; údaje o členství v odborových organizacích.

Zpracování citlivých údajů je připuštěno ve zvláštních případech.

 

Umožňuje mi používání služeb společnosti OVH splnit mé povinnosti vyplývající z GDPR?

Ano, do jisté míry. Mezi povinnosti správce osobních údajů se řadí i výběr zpracovatelů poskytujících dostatečné záruky toho, že osobní údaje budou zpracovávány v souladu s GDPR.
Jinými slovy, záruky poskytované společností OVH, jakožto zpracovatele, znamenají, že část Vašich povinností vyplývajících z GDPR je tímto splněna. Mezi těmito zárukami naleznete námi aplikovaná bezpečnostní opatření, závazky týkající se geografických oblastí, v nichž jsou Vaše data zpracovávána apod.

Povinnosti správce osobních údajů však oproti tomu nejsou omezeny pouze na výběr vhodného poskytovatele služby (tzn. takového, který přijal veškerá opatření vyplývající z GDPR). Tyto povinnosti přesahují míru působnosti společnosti OVH, jakožto IT zpracovatele. Jakožto správce osobních údajů shody s GDPR nedosáhnete pouhou volbou ověřeného zpracovatele. Zároveň s tím totiž musíte splnit další povinnosti: například respektovat práva subjektu osobních údajů a provádět analýzy dopadu na osobní život subjektu osobních údajů.

Jaké jsou závazky společnosti OVH jakožto poskytovatele cloudových služeb?

Jakožto poskytovatel cloudových služeb přebírá společnost OVH roli zpracovatele osobních údajů. V důsledku toho je společnost OVH vázána:

  1. Opětovně nepoužívat data hostovaná na našich službách: Společnost OVH zpracovává osobní údaje svých zákazníků pouze za účelem zřízení a správného fungování služeb, a to pouze v jimi stanoveném rozsahu.
  2. Zprostředkovat reverzibilitu dat: všechna cloudová řešení společnosti OVH jsou založena na otevřených standardech včetně velkého množství open-source technologií. S tím samozřejmě souvisí i vysoká míra reverzibility a interoperability, která otevírá cestu ke snadné a transparentní obnovitelnosti Vašich dat.
  3. Udávat přesné informace o geografickém umístění datacentra, v němž jsou Vaše data hostovaná a zpracovávaná.
  4. Poskytovat 100% transparentnost v oblasti přenosu údajů ke zpracovatelům.
  5. Neprodleně informovat zákazníka v případě narušení soukromí dat.
  6. Poskytnout srozumitelnou dokumentaci k jednotlivým službám: Společnost OVH se zavazuje poskytnout potřebnou dokumentaci, a to včetně popisu bezpečnostních opatření implementovaných na Vámi využívaných službách, atestace příslušného datacentra apod.
  7. Smluvě garantujete naše závazky : závazky společnosti OVH nejsou dobré sliby. Jsou smluvně začleněny do Data Processing Agreement (DPA). Tento dokument je přílohou smluvních ujednání a je dostupný na vyžádání. Je k dispozici na vyžádání pro všechny naše zákazníky.
Jaké jsou závazky společnosti OVH na poli lokalizace dat?

Při výběru služby umožňující ukládání obsahu – a především osobních údajů – jsou na našich webových stránkách uvedeny detailní informace o geografickém umístění jednotlivých datacenter. Pokud je daná služba v okamžiku objednávky dostupná ve více než jednom datacentru, může si zákazník její umístění zvolit sám, v závislosti na svých osobních preferencích.

„Ukládání údajů“ však není synonymem pro „zpracování údajů“. GDPR upravuje pravidla pro „zpracování“, nikoli pouze pro „ukládání“. Z toho důvodu je třeba těmto termínům věnovat zvláštní pozornost.

Pokud pro ukládání svých dat zvolíte oblast v rámci Evropské unie, společnost OVH garantuje, že nebude Vaše data zpracovávat mimo hranice Evropské unie nebo států označených Evropskou komisí za disponující dostatečným stupněm ochrany osobních údajů s ohledem na ochranu osobního života a základních lidských práv a svobod. Společnost OVH zároveň garantuje, že nebude Vaše data zpracovávat na území Spojených států amerických.

Může OVH používat mé údaje i pro jiné účely, než pro zajištění správného fungování mých služeb?

Společnost OVH zpracovává osobní údaje svých zákazníků pouze za účelem zřízení a správného fungování služeb, a to pouze v jimi stanoveném rozsahu.

Data hostovaná v rámci našich služeb zůstávají výhradním majetkem zákazníka.

Jakýkoli prodej výše zmíněných údajů, stejně tak jako jejich využití pro komerční účely (jako např. profilování či přímý marketing), jsou striktně zakázány.

Jakým způsobem společnost OVH garantuje dodržení svých závazků?

Aby Vám závazky společnosti OVH umožnily splnit část Vašich vlastních závazků, musíte je uvést v rámci smlouvy nebo jiného právního jednání, kterým vzniká smluvní vztah se společností OVH.

OVH Vám v tomto smyslu vychází vstříc dvěma způsoby:

  • Naše Všeobecné obchodní podmínky, které se vztahují na všechny námi poskytované služby, nyní obsahují speciální dodatek upravující problematiku zpracování osobních údajů.
  • Na žádost zákazníka společnost OVH přistoupí k podpisu Smlouvy o zpracování osobních údajů (Data Processing Agreement neboli DPA). Smyslem smluv o zpracování osobních údajů je jasné vymezení záruk poskytovaných společností OVH na poli zpracování osobních údajů.