Některé základní pojmy
Identifikovatelná fyzická osoba – fyzická osoba, kterou lze přímo nebo nepřímo identifikovat
Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě
Souhlas – jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením nebo či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů
Správce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjek, který sám nebo společně jinými určuje účely a prostředky zpracování osobních údajů
Subjekt údajů – identifikovaná nebo identifikovatelná fyzická osoba, ke které se vztahují osobní údaje
Zpracování osobních údajů – jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů (shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz či zničení)
Zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjek, který zpracovává osobní údaje pro správce (nejedná se o zaměstnance správce!)
Zvláštní kategorie osobních údajů – (dříve „citlivé údaje“) údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace a údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby (jejich zpracování je, až na stanovené výjimky zakázáno)
Zásady
Základními pravidly pro zpracovávání osobních údajů jsou GDPR stanovené zásady jejich zpracování. Jedná se o základní podmínky pro správce, za kterých je umožněno osobní údaje zpracovávat. Lze je tedy vnímat jako požadavky GDPR pro zpracování osobních údajů.
GDPR stanovuje zásady:
- zákonnosti (zpracování nesmí být v rozporu se zákonem a pouze v odpovídajícím rozsahu při splnění jedné z v DGPR uvedených podmínek – pro splnění právní povinnosti, pro splnění smlouvy nebo pro opatření před přijetím smlouvy, pro ochranu životně důležitých zájmů, pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, pro účely oprávněných zájmů správce nebo třetí strany, kromě případů, kdy má přednost zájem subjektu údajů a udělení souhlasu subjektem údajů)
- korektnosti a transparentnosti (zajišťovat co největší míru informovanosti subjektů údajů)
- účelového omezení [osobní údaje nesmí být zpracovávány k jinému účelu, než k jakému byly shromážděny (pozor, existuje výjimka)]
- minimalizace údajů (pouze údaje, které jsou pro k dosažení účelu nezbytné, a to pouze v nutném rozsahu)
- přesnosti (údaje musí být přesné a podle potřeby aktualizované)
- omezení uložení [nepotřebné údaje musí být vymazány nebo anonymizovány (i zde platí výjimka)]
- integrity a důvěrnosti (nutno přijmout vhodná technická a organizační opatření pro zajištění integrity a důvěrnosti osobních údajů
- odpovědnosti (zajištění souladu se všemi zásadami a být schopen toto prokázat).
2020-06-17