13. Ochrana osobních údajů

Předmětem úpravy GDPR je zpracování osobních údajů, které provádí správce, a to eventuálně prostřednictvím zpracovatele. Za základní pojmy tedy je třeba považovat: osobní údaj, zpracování osobních údajů, správce a zpracovatel.

Osobní údaj je jakákoli informace vztahující se k určené (identifikované) anebo určitelné (identifikovatelné), a to žijící fyzické osobě – subjektu údajů. Jedná se o entitu datových položek, jejichž součástí musí být určité identifikátory (jméno, rodné číslo, zobrazení obličeje apod.) umožňující fyzickou osobu odlišit od ostatních a kontaktovat anebo alespoň odlišit od ostatních. Osobním údajem je např. informace o tom, že osoba konkrétně uvedeného jména, data narození a bydliště vykovává ve vymezeném období určité povolání.

Naopak obecnou informaci, podle níž počet osob vykonávajících ve vymezené době určité povolání poklesl, takto klasifikovat nelze.

Tematicky se tedy osobní údaje mohou vztahovat k jakékoli oblasti. Toto se ovšem netýká tzv. zvláštní kategorie osobních údajů, což jsou taxativně vymezené druhy osobních údajů (vypovídající např. o zdravotním stavu, náboženském vyznání, politických názorech, rasovém či etnickém původu atd.).

Osobní údaje však musí být zpracovatelné, tj. uloženy na nosiči, aby mohly být včleněny do režimu zpracování.

Zpracování osobních údajů je definováno jako jakákoli operace nebo soubor operací, které se provádějí s osobními údaji. Výčet těchto operací, za něž je považováno především shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení je uveden pouze demonstrativně. To je z hlediska právního vyjádření vcelku logické, jelikož vyčerpávající výčet evidentně není možné spolehlivě sestavit a případný takovýto pokus by evidentně vytvořil jistou základnu k obcházení právní úpravy. Nutno ale doplnit, že GDPR se vztahuje pouze na automatizované, resp. částečně automatizované zpracování osobních údajů a dále na zpracování osobních údajů obsažených v evidenci nebo těch, které do ní mají být zařazeny. Za evidenci pak je považován jakýkoli strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií. Naopak, GDPR nelze aplikovat vůči osobním údajům zpracovávaných fyzickou osobou v průběhu výlučně osobních nebo domácích činností.

Správcem osobních údajů je jakýkoli subjekt ať již fyzická či právnická osoba anebo orgán veřejné moci, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů. Nese tedy základní odpovědnost za příslušné zpracování osobních údajů.

Je‑li správců více, vymezí své podíly na odpovědnosti transparentním ujednáním. Správce pak může osobní údaje zpracovávat prostřednictvím zpracovatele.

Zpracovatel osobních údajů je jakýkoli subjekt, který zpracovává osobní údaje pro správce a je tedy sekundárně odpovědný za zpracování osobních údajů. Vztah mezi správcem a zpracovatelem může být založen buď smlouvou, nebo jiným zavazujícím právním aktem, přičemž musí být splněny náležitosti uvedené v čl. 28 GDPR. K nim náleží především zajištění toho, aby zpracovatel respektoval pokyny správce, aby osoby oprávněné ke zpracování byly zavázány k mlčenlivosti a aby byly plněny všechny relevantní povinnosti uložené ustanoveními GDPR, přičemž zpracovatel může dalšího zpracovatele zapojit pouze na základě povolení správce. Příslušný právní akt musí být písemný, za což se uznává i elektronická forma.

Správce i zpracovatel jsou povinni vést záznamy o činnostech zpracování v rozsahu stanoveném v čl. 30 GDPR.