Article 29 Working Party viz. též Pracovní skupina 29

Pracovní skupina 29 byla ustanovena článkem 29. směrnice 95/46/EC. Jde o nezávislý evropský poradní orgán na ochranu dat a soukromí. Účinností GDPR od 25. května 2018 se změní v Evropský sbor pro ochranu osobních údajů (EPDB).

Automatizované zpracování osobních údajů je běžně rozšířenou formou zpracování osobních údajů za použití výpočetní techniky, bez lidského zásahu.

Anonymizované osobní údaje jsou takové údaje, které ani nepřímo nepomáhají v identifikaci určitého člověka a nejsou s ním tedy nijak spojitelná. Díky tomu je možné s nimi volněji nakládat, protože nejsou regulována přísnými pravidly o ochraně osobních údajů. Často se anonymizované údaje používají ve výzkumech, kde se pracuje s velkým množstvím dat a kde nejsou důležití konkrétní jednotlivci, ale obecné statistiky či trendy pozorované na základě velkého množství vstupních údajů.

Ale pozor, pouhé „začernění“ jména v dokumentech často k účinné anonymizaci nestačí. Pokud ostatní informace z dokumentu jasně odkazují na konkrétního člověka, nebo na velmi malou množinu konkrétních lidí, nemůžeme dokument považovat za anonymizovaný. Anonymitu dokumentu nebo souboru údajů je tak třeba posuzovat případ od případu.

Bring Your Own Device (zkráceně BYOD) je trend spočívající v tom, že si zaměstnanci nosí do práce svá vlastní „chytrá“ zařízení, jako jsou notebooky, smartphony, tablety apod.

Používání vlastních zařízení ve firemním prostředí má své klady i zápory. Na jednu stranu přináší výhody v efektivitě při nasazování nových technologií. Na straně druhé jde o významný zásah do tradičních zásad firemní informační bezpečnosti a jde tak o jistý druh evoluce v chápání informační bezpečnosti jako celku. BYOD vyžaduje revizi bezpečnostních standardů a změnu filozofie v řízení rizik plynoucích ze správy dat, ochrany zařízení a řídících procesů.

Biometrické údaje jsou osobní údaje technického charakteru zpracování fyzických či fyziologických znaků fyzické osoby, které umožňují jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis.

Behaviorální reklama spočívá v zobrazování reklamy na internetových stránkách či v aplikacích v závislosti na chování uživatelů (např. dle jimi navštívených webových stránek). Cílem je zobrazení reklamy, která by mohla konkrétního uživatele pravděpodobně zajímat.

Behaviorální reklama pracuje s informacemi, které jsou uložené v cookies nebo které má inzerent o uživateli dostupné z jiných zdrojů. Například fanouškovi fotbalu se pak zobrazuje reklama se sportovním zbožím nebo online sázkami na výsledky zápasů, a nezobrazí se mu třeba reklama na kurzy baletu, která zase cílí na jiné uživatele.

Cloudové služby jsou služby využívající tzv. cloud computing, tedy model, v němž jsou servery, úložiště, služby a aplikace, které služba nabízí, dostupné uživateli vzdáleně přes síť či internet a nezatěžují hardware ani software zařízení uživatele.

Pro využívání většiny cloudových služeb není nutná instalace a uživatel se do nich přihlásí přímo v prohlížeči. V některých případech je pro chod služby nutné do kompatibilního zařízení (tablet, smartphone nebo osobní počítač) nainstalovat klientskou aplikaci, skrze kterou uživatel službu ovládá. I zde platí, že aplikační data jsou ukládána v cloudu.

Cookies Wikipedie definuje jako krátké textové soubory generované webovým serverem a ukládané v počítači prostřednictvím prohlížeče. Když se později vrátíte na stejný web, prohlížeč pošle uloženou cookie zpět a server tak získá všechny informace, které si u vás předtím uložil.

Princip cookies umožňuje odlišit uživatele a uložit si o něm konkrétní údaje. Např. právě díky cookie ví příslušný server, jaké nastavení jazyka jste si při minulé návštěvě vybrali či jaké položky jste měli uložené v nákupním košíku. Cookies tedy usnadňují personalizaci.

Na principu cookies pracují také různé statistiky a další měřicí systémy, které si do cookie ukládají identifikátor návštěvníka, někdy i čas či zdroj návštěvy a další informace. Použitím téhož identifikátoru na jiných stránkách pak mohou chování uživatele stopovat a sledovat. Cookies jsou tedy podmínkou pro funkční webovou analytiku.

Cookies se také používají k uložení potvrzení, že je uživatel přihlášený (např. do e-shopu, do administrace, na sociální síti apod.). Zde mluvíme o tzv. autentizační cookie. Bez ní by server nevěděl, že už přihlášení a ověření uživatele proběhlo, a vyžadoval je při návštěvě každé další stránky.

Citlivé osobní údaje jsou speciální kategorií podle GDPR, která zahrnuje údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob. Do kategorie citlivých údajů GDPR nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Dozorový úřad viz. též Úřad pro ochranu osobních údajů

Úřad pro ochranu osobních údajů (zkráceně ÚOOÚ) je nezávislým orgánem, který:

• Provádí dozor nad dodržováním zákonem stanovených povinností při&nbsp zpracování osobních údajů.
• Přijímá podněty a stížnosti občanů na porušení zákona.
• Poskytuje konzultace v oblasti ochrany  osobních údajů.

Činnost Úřadu je vymezena zákonem č. 101/2000 Sb., o ochraně osobních údajů.

Data Protection Officer neboli DPO (česky Pověřenec pro ochranu osobních údajů) je nově vytvořenou pracovní pozicí podle GDPR. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Podrobnější vystvětlení role DPO a pokyny k výkonu funkce v sekci POVĚŘTE NÁS

Data Protection Impact Assessment viz. též Posouzení vlivu na ochranu osobních údajů

Data Protection Impact Assessment neboli DPIA (česky Posouzení vlivu na ochranu osobních údajů) je nástroj, který pomáhá organizacím identifikovat nejefektivnější způsob, jakým uvést pravidla na ochranu osobních údajů do souladu s GDPR. Většinou půjde o vysoce efektivní softwarové řešení na řízení operací spojených se zpracováním citlivých dat nebo dat založených na automatizovaném zpracování včetně profilování.

Evropský sbor pro ochranu osobních údajů je nejvyšším dozorovým orgánem, který bude zajišťovat jednotnou aplikaci GDPR ve všech zemích EU. Bude tvořen vedoucími dozorových úřadů z každého členského státu a evropským inspektorem ochrany údajů. Účinností GDPR vznikne z pracovní skupiny jakožto poradního orgánu podle článku 29 směrnice, která v současné chvíli upravuje oblast ochrany osobních údajů.

ePrivacy Regulation viz. též Nařízení o soukromí a elektronických komunikacích 

ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích bude svébytným doplněním Obecného nařízení o ochraně osobních údajů (GDPR), jež začne platit v celé EU od 25. května 2018 a zásadním způsobem změní praxi ve zpracovávání osobních údajů. Stejně jako v případě GDPR bude mít i chystaná regulace podobu evropského nařízení.

Podstatou ePrivacy je, aby měli občané možnost vědomě odsouhlasit, že o nich smějí poskytovatelé elektronických komunikací shromažďovat data. Stávající úprava směrnice o soukromí a elektronických komunikacích se vztahuje pouze na tradiční telekomunikační operátory. Nová pravidla budou závazná i pro poskytovatele služeb jako je WhatsApp, Facebook Messenger, Skype, Gmail, iMessage nebo Viber. Ochrana soukromí bude zaručena nejen u obsahu, ale také u metadat, jako jsou například čas a místo hovoru.

Pokud uživatel neudělí souhlas se zpracováním těchto údajů, budou muset být tato data anonymizována nebo vymazána. Výjimkou budou logicky případy, kdy jsou taková data potřebná pro samotný provoz služby či vyúčtování.

Genetické údaje definuje GDPR jako osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby nebo z analýzy jiného prvku, jež umožňuje získat rovnocenné informace.

Podkategorií genetických údajů jsou osobní údaje o zdravotním stavu. Do nich by měly být zahrnuty veškeré údaje související se zdravotním stavem osoby, které vypovídají o minulém, současném či budoucím tělesném nebo dušením zdraví.

General Data Protection Regulation viz. též Obecné nařízení na ochranu osobních údajů

GDPR nebo General Data Protection Regulation (česky Obecné nařízení na ochranu osobních údajů) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

IP adresa (anglicky IP address) je řada čísel jednoznačně identifikující síťové rozhraní v počítačové síti, která používá IP protokol. Zkratka IP znamená Internet Protocol, což je protokol, pomocí něhož spolu komunikují všechna zařízení v internetu.

Podle IP adresy je možné zcela přesně či přibližně určit polohu zařízení a při běžném používání webových aplikací s vysokou mírou jistoty identifikovat jednotlivého uživatele nebo počítačovou síť, přes kterou uživatel přistupuje do internetu (např. síť zaměstnavatele nebo univerzity). Podle GDPR proto patří IP adresa mezi osobní údaje.

Internet věcí (anglicky Internet of Things, zkráceně IoT) je označení pro propojení běžné techniky nebo i věcí denní potřeby s internetem. Propojení zařízení by mělo být zejména bezdrátové a mělo by přinést nové možnosti vzájemné interakce nejen mezi jednotlivými systémy, ale též přinést nové možnosti jejich ovládání, sledování a zajištění pokročilých služeb.

Nařízení o soukromí a elektronických komunikacích viz. též ePrivacy

ePrivacy Regulation neboli Nařízení o soukromí a elektronických komunikacích bude svébytným doplněním Obecného nařízení o ochraně osobních údajů (GDPR), jež začne platit v celé EU od 25. května 2018 a zásadním způsobem změní praxi ve zpracovávání osobních údajů. Stejně jako v případě GDPR bude mít i chystaná regulace podobu evropského nařízení.

Podstatou ePrivacy je, aby měli občané možnost vědomě odsouhlasit, že o nich smějí poskytovatelé elektronických komunikací shromažďovat data. Stávající úprava směrnice o soukromí a elektronických komunikacích se vztahuje pouze na tradiční telekomunikační operátory. Nová pravidla budou závazná i pro poskytovatele služeb jako je WhatsApp, Facebook Messenger, Skype, Gmail, iMessage nebo Viber. Ochrana soukromí bude zaručena nejen u obsahu, ale také u metadat, jako jsou například čas a místo hovoru.

Pokud uživatel neudělí souhlas se zpracováním těchto údajů, budou muset být tato data anonymizována nebo vymazána. Výjimkou budou logicky případy, kdy jsou taková data potřebná pro samotný provoz služby či vyúčtování.

Osobní údaje jsou jakékoli informace týkající se určitého nebo určitelného subjektu údajů. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Obecné nařízení o ochraně osobních údajů viz. též GDPR

GDPR nebo General Data Protection Regulation (česky Obecné nařízení na ochranu osobních údajů) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

Právo na přenositelnost, jež GDPR nově zavádí, je v podstatě rozšířeným právem přístupu a může být uplatněno za splnění dvou podmínek, které musí nastat současně: 1. zpracování je založeno na souhlasu občana nebo na smlouvě a 2. je prováděno automatizovaně.

V případě automatizovaného zpracování osobních údajů, které je založeno na uděleném souhlasu nebo na uzavřené smlouvě, má osoba právo na tzv. přenositelnost těchto údajů. To spočívá v povinnosti správce předat nositeli údajů všechny o něm zpracovávané informace ve strukturovaném, běžně používaném, strojově čitelném formátu. Uplatněním tohoto práva získává osoba větší kontrolu nad svými osobními údaji a má rovněž možnost je v takto získané podobě předat jinému správci.

Pseudonymizace osobních údajů je proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.

Údaje kódované pomocí klíče jsou klasickým příkladem pseudonymizace. Informace se týkají jednotlivců, kteří jsou označeni kódem, přičemž klíč spojující kódy s běžnými identifikátory těchto jednotlivců (jméno, datum narození, adresa apod.) se uchovává odděleně.

Pseudonymizované osobní údaje nicméně nejsou anonymizovanými údaji, proto se na ně stále vztahuje GDPR.

Profilování je jakákoli forma automatizovaného zpracování osobních údajů, na základě které dochází k vyhodnocení nebo předvídání aspektů v chování osob. Mezi formy profilování řadíme např. hodnocení pracovního výkonu osob, vyhodnocení jejich ekonomické situace pro účely nabídky vhodného finančního nebo pojistného produktu, zdravotního stavu, osobních preferencí, zájmů, místa, kde se nachází, nebo pohybu.

Právo vznést námitku proti zpracování znamená, že pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky. Na možnost vznést námitku musí být ze strany společností fyzická osoba výslovně upozorněna.

Právo na výmaz je naprosto novým právem podle GDPR, které ukládá správci osobních údajů povinnost bez zbytečného odkladu vymazat naše osobní údaje, pokud je dán jeden z těchto důvodů:

• Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
• Občan odvolá souhlas, pokud je zpracování založeno na souhlasu, a neexistuje žádný další právní důvod pro zpracování.
• Občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
• Osobní údaje byly zpracovány protiprávně.
• Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
• Právní povinnost stanovená právem Unie nebo členským státem.

Právo na přístup dává občanům EU možnost ověřit si zákonnost zpracování jejich údajů. Je téměř absolutním právem občanů, s výjimkou případů stanovených článkem 23, který dává členským státům EU možnost omezit toto právo v zájmu národní a veřejné bezpečnosti, obrany a soudních řízení.

Každý občan tedy bude mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů, vědět, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.

Právo na opravu znamená, že v případě, kdy máme podezření na nesprávnost našich údajů a to subjektivní nebo objektivní povahy, můžeme požádat danou společnost o nápravu. Správce by měl zajistit podmínky pro to, aby žádosti na opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.

Právo na omezení zpracování je novým právem fyzických osob podle GDPR. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

V systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

Právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. Zde však GDPR uvádí řadu výjimek, pročež bude v praxi dost složité právo uplatnit, zejména v případech, kdy jsou naše osobní údaje zpracovávány státními institucemi.

Pracovní skupina 29 viz. též Article 29 Working Party

Pracovní skupina 29 byla ustanovena článkem 29. směrnice 95/46/EC. Jde o nezávislý evropský poradní orgán na ochranu dat a soukromí. Účinností GDPR od 25. května 2018 se změní v Evropský sbor pro ochranu osobních údajů (EPDB).

Pověřenec pro ochranu osobních údajů viz. též Data Protection Officer

Data Protection Officer neboli DPO (česky Pověřenec pro ochranu osobních údajů) je nově vytvořenou pracovní pozicí podle GDPR. Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Podrobnější vystvětlení role DPO a pokyny k výkonu funkce v sekci POVĚŘTE NÁS

Posouzení vlivu na ochranu osobních údajů viz. též Data Protection Impact Assessment

Data Protection Impact Assessment neboli DPIA (česky Posouzení vlivu na ochranu osobních údajů) je nástroj, který pomáhá organizacím identifikovat nejefektivnější způsob, jakým uvést pravidla na ochranu osobních údajů do souladu s GDPR. Většinou půjde o vysoce efektivní softwarové řešení na řízení operací spojených se zpracováním citlivých dat nebo dat založených na automatizovaném zpracování včetně profilování.

Rodičovský souhlas se zpracováním osobních údajů dětí definuje GDPR tak, že zpracování osobních údajů dítěte je zákonné, je-li dítě ve věku nejméně 16 let, u mladších osob je zpracování jejich údajů možné jen se souhlasem zákonného zástupce – tj. rodiče, soudem ustanoveného opatrovníka či jiné osoby, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou stanovit i nižší věk, ne však nižší než 13 let.

Subjekt údajů je podle GDPR fyzická osoba, k níž se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení chrání.

Správce osobních údajů je podle GDPR každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování.

Souhlas se zpracováním osobních údajů podle GDPR znamená, že pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že fyzická osoba udělila souhlas se zpracováním svých údajů svobodně a byl konkrétní, informovaný, jednoznačný a ničím nepodmíněný.

Úřad pro ochranu osobních údajů viz. též Dozorový úřad

Úřad pro ochranu osobních údajů (zkráceně ÚOOÚ) je nezávislým orgánem, který:

• Provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů. Přijímá podněty a stížnosti občanů na porušení zákona.
• Poskytuje konzultace v oblasti ochrany osobních údajů.

Činnost Úřadu je vymezena zákonem č. 101/2000 Sb., o ochraně osobních údajů.

WP29 viz. též Article 29 Working Party viz. též Pracovní skupina 29

Pracovní skupina 29 byla ustanovena článkem 29. směrnice 95/46/EC. Jde o nezávislý evropský poradní orgán na ochranu dat a soukromí. Účinností GDPR od 25. května 2018 se změní v Evropský sbor pro ochranu osobních údajů (EPDB).

Zpracování osobních údajů je jakýkoli úkon nebo soubor úkonů, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Zpracovatel osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který jménem správce zpracovává osobní údaje. Jinými slovy, v pozici zpracovatele je každý, kdo má přístup k vašim osobním údajům.

Záznamy o činnostech zpracování jsou záznamy, kterou budou správci osobních údajů podle GDPR povinni vést o jejich zpracování a na žádost je zpřístupnit dozorovému orgánu.

GDPR vymezuje, jaké konkrétní údaje musí být součástí takové dokumentace o zpracování osobních údajů. Jsou to jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů.

Protože ne všichni podnikatelé budou schopni tuto agendu vést, mohou ji přenést na zpracovatele. GDPR sice počítá i s výjimkami z povinnosti vést dokumentaci zpracování pro firmy s méně než 250 zaměstnanci, na druhou stranu i tyto malé firmy mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování, při kterém hrozí únik či zneužití osobních údajů. Proto bude tato výjimka omezena jen na taková zpracování, která není možné považovat za riziková a závažným způsobem nezasáhnou do práv a svobod jednotlivců.