13. Ochrana osobních údajů

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně, zákonným a transparentním způsobem. Prakticky to především znamená, že osobní údaje jsou shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány za účelem, který je s těmito účely neslučitelný (zásada účelového omezení).

Takovýmto popřením primárního účelu by bylo např. svévolné rozhodnutí zaměstnavatele předat osobní údaje dalšímu správci pro potřeby přímého marketingu. Z druhé strany za neslučitelné účely nelze považovat archivnictví ve veřejném zájmu, vědecký nebo historický výzkum, statistické účely nebo chráněný zájem (vizte § 6 zákona č. 110/2019 Sb.).

Účel zpracování osobních údajů správce stanoví prostřednictvím disponibilního právního titulu (vizte dále).

Účel zpracování osobních údajů pak má obsahovou dimenzi vyjádřenou prostřednictvím zásady minimalizace údajů, podle níž osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Kupř. pro vedení evidence čtenářů běžné knihovny je relevantní vést údaj o bydlišti čtenáře, nikoli ale údaje o příjmech této osoby.

Dále má účel tzv. časovou dimenzi (zásada omezení uložení), podle níž je možno osobní údaje ukládat ve formě umožňující identifikaci osobních údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Tedy např. záměr majitele domu vést osobní údaje nájemníků po dobu sta let není evidentně v souladu s tímto principem.

Další zásadou zpracování osobních údajů je zásada přesnosti, podle níž zpracovávané osobní údaje mají být přesné a v případě potřeby aktualizované, přičemž musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány anebo opraveny. Přesnost osobních údajů se tedy posuzuje s ohledem na stanovený účel. Zpracováváme‑li osobní údaje o výpovědi určitého svědka, je důležité, zda opravdu vypovídal tak, jak je uvedeno
a nikoli, zda mluvil pravdu. Naopak zpracováváme‑li osobní údaje pro účely zasílání určitých dokumentů, je důležité systematicky prověřovat aktuálnost kontaktních údajů a je‑li třeba, tyto údaje opravovat.

Osobní údaje pak musí být zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (zásada integrity a důvěrnosti). Nezbytnost zavedení předmětných opatření je nutno posuzovat individuálně, a to s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování a možným rizikům, přičemž za vhodná opatření se považuje pseudonymizace a šifrování osobních údajů, opatření umožňující zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, opatření zavádějící schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických i technických incidentů, a dále zajištění procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených opatření. Stejně tak je nutno dosáhnout toho, aby každý, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům jednal pouze na pokyn správce.

Na tomto místě je vhodné také připomenout ohlašovací povinnost spočívající v tom, že jakékoli závažnější porušení zabezpečení osobních údajů je správce povinen bezodkladně nahlásit dozorovému úřadu, přičemž mělo‑li by porušení zabezpečení osobních údajů za následek vysoké riziko pro práva a svobody fyzických osob, je třeba toto oznámit i subjektům údajů.