GDPR - zásady zpracování
Jaké údaje lze zpracovávat a za jakých podmínek?
Typ a množství osobních údajů, které společnost/organizace může zpracovávat, závisí na tom, z jakého důvodu jsou zpracovávány (příslušný právní důvod) a jaké je jejich zamýšlené použití. Společnost/organizace musí dodržovat několik klíčových pravidel:
- osobní údaje se musí zpracovávat zákonným a transparentním způsobem, aby byla zajištěna korektnost vůči fyzickým osobám, jejichž osobní údaje se zpracovávají („zákonnost, korektnost a transparentnost“),
- existence konkrétních účelů zpracovávání osobních údajů a tyto účely musí společnost/organizace sdělit fyzickým osobám, když jejich osobní údaje shromažďuje. Společnost/organizace nemůže jednoduše shromažďovat osobní údaje bez definovaných účelů („účelové omezení“),
- společnost/organizace musí shromažďovat a zpracovávat pouze ty osobní údaje, které jsou nezbytné k naplnění daného účelu („minimalizace údajů“),
- společnost/organizace musí zajistit, aby osobní údaje byly přesné a aktuální s ohledem na účely, pro něž se zpracovávají, a opravit je, pokud takové nejsou („přesnost“),
- společnost/organizace nemůže osobní údaje dále využívat pro jiné účely, které nejsou slučitelné s účely, pro něž byly osobní údaje původně shromážděny,
- společnost/organizace musí zajistit, aby osobní údaje nebyly uloženy déle, než je nezbytné pro účely, pro něž byly shromážděny („omezení uložení“),
- společnost/organizace musí s využitím náležité technologie zavést vhodné technické a organizační záruky, které zajistí zabezpečení osobních údajů včetně ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).
odkazy -
- Čl. 5 odst. 1 a 39. bod odůvodnění GDPR
- Stanovisko pracovní skupiny 03/2013 zřízené podle článku 29 o účelovém omezení (WP 203)
Účel zpracovávání osobních údajů
Účel zpracovávání osobních údajů musí být znám a fyzické osoby, jejichž údaje jsou zpracovávány, musí být informovány. Nestačí jen uvést, že osobní údaje budou shromažďovány a zpracovávány. Říká se tomu zásada „účelového omezení“.
Pokud vaše společnosti/organizace osobní údaje shromáždila na základě oprávněného zájmu, smlouvy nebo životně důležitých zájmů, mohou být použity k jinému účelu, ale až po kontrole toho, zda je nový účel slučitelný s původním účelem.
Je třeba zvážit:
- spojení mezi původním účelem a novým/nadcházejícím účelem,
- kontext, v němž byly osobní údaje shromážděny (jaký je vztah mezi vaší společností/organizací a příslušnou fyzickou osobou?),
- typ a povaha osobních údajů (jsou citlivé?),
- možné důsledky zamýšleného dalšího zpracovávání (jaký dopad to bude mít na příslušnou fyzickou osobu?),
- existenci vhodných záruk (například šifrování nebo pseudonymizace).
Pokud vaše společnost/organizace chce osobní údaje využít ke statistice nebo vědeckému výzkumu, není třeba provádět test kompatibility.
Pokud vaše společnost/organizace osobní údaje shromažďuje na základě souhlasu nebo podle zákonného požadavku, není možné žádné další zpracovávání kromě toho, co je pokryto původním souhlasem nebo zákonnými ustanoveními. Další zpracovávání by vyžadovalo získání nového souhlasu nebo nového právního základu.
odkazy -
- Čl. 5 odst. 1 písm. b), čl. 6 odst. 4 a čl. 89 odst. 1 a 39. a 50. bod odůvodnění GDPR
- Stanovisko pracovní skupiny 03/2013 zřízené podle článku 29 o účelovém omezení (WP 203)
V době shromažďování osobních údajů je třeba lidi jasně informovat přinejmenším o tom:
- kdo je vaše společnost/organizace (vaše kontaktní údaje a kontaktní údaje vašeho případného pověřence pro ochranu osobních údajů),
- proč bude vaše společnost/organizace jejich osobní údaje využívat (účely),
- kategorie příslušných osobních údajů,
- právní základ pro zpracování jejich osobních údajů,
- jak dlouho budou osobní údaje uchovávány,
- kdo další je může dostat,
- zda budou jejich osobní údaje předány příjemci mimo EU,
- že mají právo na kopii svých údajů (právo na přístup k osobním údajům) a další základní práva v oblasti ochrany osobních údajů (viz úplný seznam práv),
- právo podat stížnost u úřadu pro ochranu osobních údajů,
- právo kdykoli odvolat svůj souhlas,
- podle okolností skutečnost, že dochází k automatizovanému rozhodování, a příslušné logiky včetně jeho důsledků.
Viz úplný seznam informací, které mají být poskytnuty.
Tyto informace mohou být poskytnuty písemně, ústně na vyžádání fyzické osoby, pokud je totožnost příslušné osoby prokázána jiným způsobem, nebo případně v elektronické formě. Vaše společnost/organizace to musí učinit stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků a bezplatně.
Pokud osobní údaje získáte od jiné společnosti/organizace, vaše společnost/organizace by měla výše uvedené informace příslušné osobě poskytnout nejméně do jednoho měsíce po obdržení osobních údajů; nebo v případě, že vaše společnost/organizace s dotyčnou osobou komunikuje, když jsou osobní údaje použity k této komunikaci; nebo pokud je předpokládáno sdělení jiné společnosti, když jsou tyto osobní údaje poprvé sděleny.
Vaše společnost/organizace má také povinnost informovat příslušnou osobu o kategoriích osobních údajů a zdroji, ze kterého byl údaj získán; a to včetně případů, kdy byly údaje získány z veřejně dostupných zdrojů. Za konkrétních okolností uvedených v čl. 13 odst. 4 a čl. 14 odst. 5 GDPR může být vaše společnost/organizace zproštěna povinnosti příslušnou osobu informovat. Ujistěte se, zda se výjimka týká i vaší společnosti/organizace.