dnes je 17.12.2018
Input:

Ochrana osobních údajů a GDPR

1.2.2018, Zdroj: Verlag Dashöfer

10.3.2
Ochrana osobních údajů a GDPR

10.3.2.1
Změny v ochraně osobních údajů podle GDPR

Mgr. Veronika Skřejpková

Zásadní změna v ochraně osobních údajů, o které je dobré nejenom vědět, ale hlavně se na ni již nyní začít připravovat, souvisí s účinností nařízení ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), jež nastane 25. 5. 2018 (dále jen jako „nařízení GDPR”).

Nařízení GDPR (General Data Protection Regulation) bude totiž od 25. 5. 2018 přímo použitelné, a to ve všech členských státech Evropské unie v celém svém rozsahu, což znamená 99 článků. Nařízení GDPR tedy není nutné vnitrostátní normou do právního řádu České republiky jakkoli transponovat, stávající právní normy je nutné novému nařízení GDPR pouze přizpůsobit. Jakmile nařízení GDPR nabyde účinnosti, bude se v České republice stejně jako v dalších členských zemích Evropské unie každý moci domáhat jeho dodržování. Hlavním cílem nařízení GDPR je sjednocení úpravy ochrany osobních údajů v rámci celé Evropské unie. Přímo v nařízení GDPR, a to hned v jeho úvodu, je jeho hlavní cíl vyjádřen jako „přispění k dotvoření prostoru svobody, bezpečnosti a práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, k posílení a sblížení ekonomik v rámci vnitřního trhu a k dobrým životním podmínkám fyzických osob”.

Mezi hlavní důvody přijetí nařízení GDPR patří rychlý technologický rozvoj a s ním související globalizace. Snaha harmonizace ochrany osobních údajů pramení právě z toho, že technologický pokrok umožnil jak soukromým společnostem, tak veřejným subjektům využívat v rámci své činnosti osobní údaje v doposud nebývalém rozsahu. Je zcela nepochybné, že v současné době rovněž podstatně více fyzických osob zveřejňuje své osobní údaje, a to v globálním rozsahu. S celou touto technologickou revolucí rovněž souvisí i nárůst šíření osobních údajů mezi členskými státy Evropské unie a rovněž jejich přesah do zemí třetího světa.

Až už jste nadnárodní organizací zaměstnávající stovky zaměstnanců nebo jste fyzickou podnikající osobou, která ke své obchodní činnosti využívá elektronické nástroje pro účely komunikace se zákazníky, bude na Vás nařízení GDPR mít dopad. Nařízení GDPR se tedy týká každého, kdo má zaměstnance, každého, kdo zpracovává osobní údaje fyzických osob v rámci elektronické komunikace (jakýkoli obchod na internetu) nebo kohokoli, kdo například využívá databáze osobních údajů pro účely marketingu apod. Nařízení GDPR se nevztahuje na fyzické osoby zpracovávající osobní údaje výlučně v průběhu osobních či domácích činností a dále se zejména netýká těch orgánů, které zpracovávají osobní údaje za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, pokud zpracování osobních údajů provádějí takovéto orgány pouze pro svou osobní potřebu.

Obecně platí, že podnikatelé v soukromém sektoru zpracovávají osobní údaje v rozsahu minimálně nezbytném u subjektů údajů, se kterými uzavírají smlouvy (v tomto případě je připuštěno zpracování osobních údajů dokonce bez výslovného souhlasu subjektu osobních údajů, resp. souhlas není vyžadován, protože přistoupením ke smlouvě subjektem údajů a sdělením jeho osobních údajů je prakticky takovýmto jednáním subjektu udělen). Dále v soukromé sféře může zpracování osobních údajů souviset se splněním určité povinnosti, kterou má subjekt, jenž osobní údaje zpracovává, např. vedení zdravotnické dokumentace. V neposlední řadě ke zpracování osobních údajů soukromými subjekty dochází za účelem uspokojení, případně dosažení oprávněných zájmů tohoto subjektu. Možnost zpracovat osobní údaje však není soukromými subjekty připuštěna v případě, že by zájmy správce (zpracovatele) osobních údajů byly v rozporu s právy a svobodami subjektu, jehož osobní údaje mají být takovýmto subjektem zpracovány. Vzhledem k tomu, že nařízení GDPR nastavuje povinnosti správcům osobních údajů jak ve veřejném, tak i v soukromém sektoru, je proto vhodné seznámit se zásadními změnami, které v ochraně osobních údajů nařízení GDPR přináší a začít se na ně připravovat.

Novinky v právech subjektů osobních údajů

Nařízení GDPR přináší mnoho zcela revolučních změn v ochraně osobních údajů a současně precizuje povinnosti, které však již známe, a to ze současné právní úpravy ochrany osobních údajů.

Nařízení GDPR vychází z následujících zásad zpracovávání osobních údajů. Zpracovávání osobních údajů může být zajišťováno osobou odlišnou od subjektu osobních údajů, a to pouze zákonným, transparentním a korektním způsobem, to všechno pouze za legitimním účelem. Účel zpracování osobních údajů musí být osobou zpracovávající osobní údaje sdělen subjektu údajů výslovně a určitým způsobem. Ke zpracování osobních údajů může dojít i nadále pouze v případě, kdy požadovaného účelu není možné dosáhnout jinak a zpracování osobních údajů musí být vůči tomuto účelu relevantní a přiměřené včetně toho, že je omezeno pouze na nezbytný rozsah. Všechny tyto zásady zpracování osobních údajů nejsou nové a jsou zakotveny již v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů”).

Důležité je upozornit na to, že zákon o ochraně osobních údajů zůstává i nadále v platnosti a je otázkou, jakým způsobem přistoupí český zákonodárce k úpravě českého právního řádu v návaznosti na přijaté nařízení GDPR. Nicméně, jak již bylo řečeno v úvodu, nařízení GDPR bude přímo použitelné v celém svém rozsahu, a to bez ohledu na to, jakým způsobem se změní vnitrostátní právní úprava.

Nařízení GDPR víceméně rovněž používá stejné pojmy, které známe ze zákona o ochraně osobních údajů, a naštěstí i s podobným významem. Osobním údajem je dle nařízení GDPR „veškerá informace o identifikované či identifikovatelné osobě (dále jen „subjekt údajů”). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokální údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby”. Zpracováním osobních údajů je považována „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení”. (V uvedeném významu jsou definované pojmy používány i dále v tomto textu.)

Mezi hlavní zájmy nařízení GDPR je posílit práva fyzických osob jako subjektů osobních údajů. Těmto subjektům osobních údajů má být zajištěna větší kontrola nad zpracováním jejich osobních údajů. Tohoto cíle by mělo být dosaženo zvýšením transparentnosti v rámci zpracovávání osobních údajů, kdy pro subjekty údajů mají být dostupné informace o tom, co se s jejich osobními údaji děje, jakým způsobem a za jakým účelem jsou zpracovávány. Nařízení GDPR v tomto směru precizuje stávající právní úpravu osobních údajů a požaduje, aby každý subjekt osobních údajů měl snadnější a srozumitelnější přístup k těmto informacím. Informace o tom, jakým způsobem je s osobními údaji subjektů nakládáno, mají být do budoucna ve smyslu požadavků nařízení GDPR srozumitelnější a celkově jasnější. Lze tedy říci, že v důsledku nařízení GDPR má být subjektům osobních údajů podstatně navýšena možnost kontroly nad vlastními osobními údaji.

Práva subjektů osobních údajů

V této souvislosti jsou v nařízení GDPR nově zakotvena i některá práva subjektů osobních údajů, případně jsou některá stávající práva zpřesněna, jako např. právo subjektu údajů tzv. „být zapomenut”. Stávající právo na výmaz osobních údajů je zesíleno povinností správce informovat další správce, o kterých ví, že osobní údaje subjektu zpracovali, aby vymazali veškeré související odkazy na dané osobní údaje subjektu, který žádá o jejich výmaz. Dalším právem subjektu osobních údajů je právo být informován o neoprávněném přístupu k jeho osobním údajům, viz dále. A nařízením GDPR je např. zakotveno též právo na přenositelnost osobních údajů mezi různými poskytovateli služeb, které má zajistit snadnější převod již jednou poskytnutých osobních údajů.

Významné doplnění právní úpravy nastává u souhlasu se zpracováním osobních údajů subjektu, jehož údaje mají být jinou osobou, resp. správcem osobních údajů, zpracovány. Pouze pro upřesnění si uvedeme rozdíl mezi správcem a zpracovatelem osobních údajů. Nařízení GDPR zachovává dřívější vymezení správce i zpracovatele osobních údajů a nikterak toto vymezení nemění. Správcem osobních údajů je taková osoba, která určuje účel a prostředky zpracování osobních údajů, shromažďuje osobní údaje a následně provádí jejich zpracování, za které rovněž zodpovídá. Naopak zpracovatel osobních údajů, je osoba, která je pověřena ke zpracování osobních údajů správcem či na základě zvláštního zákona, aniž by určoval účel a prostředky zpracování osobních údajů. Zásadní rozdíl mezi správcem a zpracovatelem osobních údajů tedy je to, že správce osobních údajů určuje účel zpracování osobních údajů.

Nařízení GDPR stanoví, že „souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení”. Nařízení GDPR výslovně uvádí, že se musí jednat o aktivní a jednoznačný souhlas. Nejsou tedy akceptovatelná předem zaškrtnutá políčka či souhlas subjektu údajů udělený prostřednictvím nečinnosti subjektu údajů. Pokud poskytnuté osobní údaje subjektem údajů mají být zpracovány k více účelům, musí být souhlas udělen ke každému z účelů zpracování osobních údajů. Není tedy možné udělit souhlas tzv. generálně bez toho, že by subjekt osobních údajů byl ze strany správce seznámen se všemi účely zpracování jeho osobních údajů. Subjekt poskytující osobní údaje musí znát správce osobních údajů a účel, za kterým předmětné osobní údaje tomuto správci poskytl. Musí se tedy jednat o tzv. informovaný souhlas subjektu poskytujícího své osobní údaje. Souhlas musí být svobodný, což mimo jiné znamená, že subjekt, který poskytuje správci své osobní údaje, může svůj souhlas kdykoli svobodně odvolat, a to aniž by mu hrozila jakákoli újma. Speciální podmínky pro udělení souhlasu jsou nařízením GDPR stanoveny pro případy udělení souhlasu dítětem a v případě souhlasu se zpracováním citlivých údajů subjektem těchto údajů.

Novinky v povinnostech správců osobních údajů

Nařízení GDPR mění povinnosti správců osobních údajů a současně jim stanoví nové postupy a povinnosti v procesu zpracování osobních údajů.

Dle stávající právní úpravy byla dána povinnost každý záměr zpracování osobních údajů (s výjimkou manuálního zpracovávaní osobních údajů anebo takového zpracovávání osobních údajů, která nemohou poškodit práva a svobody subjektů údajů) oznámit dozorovému orgánu, a to ještě před samotným faktickým zpracováváním osobních údajů. Dozorový orgán následně posuzoval zákonnost a oprávněnost zpracovatele k zamýšlenému zpracování osobních údajů. Nařízení GDPR tuto

.
  1. Smlouva o poskytnutí užívacích práv k On-line produktu (dále také jen   "smlouva") se uzavírá na dobu určitou, a to na dobu předplatného uvedenou v objednávce a ve faktuře. 
  2. Dojde-li k objednání On-line produktu nakladatelství přes internet, vzniká smlouva mezi objednatelem a nakladatelstvím okamžikem odeslání objednávky učiněné v internetovém obchodu nakladatelství. Podmínkou odeslání objednávky je odsouhlasení těchto všeobecných obchodních podmínek pro On-line produkty (dále také "VOP-O"), které se tak stávají právně závazné pro obě smluvní strany. 
  3. V případě objednání On-line produktu jakýmkoli jiným způsobem vzniká smlouva mezi objednatelem a nakladatelstvím zaplacením zálohové faktury. Úhradou zálohové faktury se stávají VOP-O právně závaznými pro obě smluvní strany. 
  4. Ke vzniku smlouvy mezi nakladatelstvím a objednatelem dojde vždy s výhradou ztráty schopnosti nakladatelství smlouvu plnit. 
  5. Objednateli vzniká právo užívat On-line produkt po uzavření smlouvy, zaplacení ceny (předplatného) On-line produktu  a aktivaci přístupu objednatele do On-line produktu provedené nakladatelstvím.
    O aktivaci přístupu do On-line produktu je objednatel nakladatelstvím informován emailem a současně jsou mu zaslány pokyny k přihlášení do On-line produktu. Rozhodne-li se objednatel svého práva na užívání On-line produktu nevyužít, nemá tato skutečnost vliv na platnost smlouvy a povinnost objednatele platit cenu On-line produktu (předplatné). 
  6. Smlouva se vždy automaticky prodlužuje o další předplatné období, jehož délka je shodná s délkou předcházejícího  předplatného období, nedoručí-li nejpozději 6 týdnů před uplynutím předplaceného období uvedeného na faktuře jakákoli ze smluvních stran druhé smluvní straně emailem nebo dopisem učiněné oznámení, že o automatické prodloužení předplatného nemá zájem. V případě jednoměsíčního předplatného se šestitýdenní lhůta pro doručení oznámení zkracuje na 15 dní a ust. čl. 8 VOP-O se nepoužije. Obě smluvní strany s automatickým prodlužováním smlouvy výslovně souhlasí. Objednatel je povinen platit nakladatelství předplatné navýšené o DPH po celou dobu platnosti smlouvy. 
  7.  Nakladatelství je s ohledem na nárůst průměrného indexu spotřebitelským cen oprávněno zvýšit jednou ročně ceny předplatného na další předplatné období, maximálně však vždy o 3 % z  ceny předplatného předcházejícího předplatného období. 
  8. Nakladatelství odešle objednateli zálohovou fakturu na další předplatné období vždy nejpozději 4 týdny před koncem stávajícího předplaceného období. 
  9. Dojde-li ze strany objednatele k prodlení se zaplacením ceny předplatného, je nakladatelství oprávněno požadovat od objednatele zaplacení nákladů spojených s vymáháním každé pohledávky ve výši 1200 Kč v souladu s nařízením vlády č. 351/2013 Sb. 
  10. Objednatel je povinen nakladatelství bez zbytečného odkladu oznámit jakékoli změny údajů, které  uvedl při uskutečnění objednávky. 
  11. On-line produkt podléhá autorskoprávní ochraně. On-line produkt nesmí být objednatelem ani nikým jiným bez předchozího souhlasu nakladatelství jakkoli rozmnožován, rozšiřován, pronajímán, propachtován, vystavován či půjčován třetím osobám a jeho obsah nesmí být sdělován v jakékoli formě veřejnosti. 
  12. Právo užívat On-line produkt je nepřenosné. Není-li mezi stranami smlouvy ujednáno jinak (multilicenční ujednání obsažené ve faktuře), má právo užívat On-line produkt
    a) v případě objednatelů - fyzických osob pouze tato jedna fyzická osoba a b) v případě objednatelů - právnických osob pouze jedna fyzická osoba u objednatele. 
  13. Poruší-li objednatel toto podlicenční ujednání nebo poruší-li jinou svou zákonnou či smluvní povinnost podstatným způsobem, je nakladatelství oprávněno od smlouvy s    okamžitým účinkem odstoupit a zrušit přístup objednatele k On-line produktu formou deaktivace přístupu nebo přístupového jména a hesla objednatele. 
  14. Nakladatelství nenese jakoukoli odpovědnost za správnost či úplnost obsahu On-line produktu a za případnou škodu či nemajetkovou újmu způsobenou přímo či nepřímo užitím obsahu On-line produktu. Ustanovení § 2950 zákona č. 89/2012 Sb., občanský zákoník, se na odpovědnost nakladatelství neuplatní. 
  15. Nakladatelství odpovídá za to, že dostupnost On-line produktu nebude v průměru měsíčně nižší než 90%. Tato odpovědnost se však nevztahuje na kvalitu internetového připojení poskytovaného objednateli třetími osobami. Objednatel má právo odstoupit od smlouvy s účinky do budoucna, bude-li alespoň dva po sobě následující měsíce dostupnost On-line produktu nižší než 90 %. 
  16. V případě potřeby (oznámení, reklamace, stížnosti atp.) může objednatel kontaktovat nakladatelství na emailové adrese info@dashofer.cz nebo prostřednictvím kontaktů uvedených na www.dashofer.cz.  
  17. Není-li uvedeno jinak, mohou být veškerá oznámení adresovaná objednateli nakladatelstvím činěna ve formě elektronické zprávy adresované na emailovou adresu objednatele. Nakladatelství je dále oprávněno zasílat zálohové faktury a daňové doklady objednateli elektronicky, případně poštou. 
  18. Není-li v objednávce výslovně uvedeno jinak, má se za to, že objednatel je podnikatel a objednávku činí v souvislosti se svou podnikatelskou činností. V těchto případech se na právní vztah mezi objednatelem a nakladatelstvím neuplatní ustanovení § 1799 a § 1800 zákona č. 89/2012 Sb., občanský zákoník. Zákonná práva objednatelů - spotřebitelů nejsou tímto ustanovením dotčena. 
  19. Případné soudní spory vyplývající z právních vztahů mezi objednatelem a nakladatelstvím  bude rozhodovat obecný soud místně příslušný podle sídla nakladatelství. 
  20. Tyto všeobecné obchodní podmínky pro On-line produkty tvoří nedílnou součást smlouvy. Nakladatelství je oprávněno v případě potřeby tyto VOP-O jednostranně změnit. O takovéto změně bude objednatel vždy s dostatečným časovým předstihem písemně, elektronicky emailem anebo na internetových stránkách nakladatelství informován a bude mít možnost změnu VOP-O odmítnout a smlouvu z tohoto důvodu ukončit. 
  21. V případě rozporu mezi ustanovením smlouvy a těmito VOP-O má příslušné ustanovení smlouvy před VOP-O přednost . 
  22. Společnost Verlag Dashöfer, nakladatelství,spol.s r.o. se sídlem Praha 6 - Vokovice, Evropská 423/178, PSČ 160 00, IČ: 45245681, je zapsána u Městského soudu v Praze, oddíl C, vložka 7702.


Tyto obchodní podmínky si můžete vytisknout kliknutím na následující odkaz:
http://www.dashofer.cz/vop/online/vop-online.pdf.

.

Ochrana osobních údajů a jejich používání

Ochrana soukromí je záležitostí  důvěry a vaše důvěra je pro nás důležitá. Respektujeme vaše soukromí a při zpracování vašich osobních údajů dodržujeme zákonná právní předpisy týkající se ochrany osobních údajů, zejména tzv. GDPR (nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) (dále jen "Nařízení").

Chtěli bychom vás tímto informovat o našem nakládání s osobními údaji pro zajištění vaší informovanosti příp. pro získání souhlasu s jejich zpracováním.

1. Data a jejich využití 

Verlag Dashöfer, nakladatelství spol s r.o. jakožto Správce zpracovává osobní údaje za tímto účelem:

 

 

 

 

Výše uvedené údaje zpracováváme po dobu aktivní objednané služby a po dobu 5 let od ukončení objednané služby nebo nákupu singulárního produktu, nepožaduje-li právní předpis uchování smluvní dokumentace po dobu delší. V případě zpracování osobních údajů na základě uděleného dobrovolného souhlasu po dobu 5 let od udělení souhlasu.

Aktuální seznam našich zpracovatelů můžete nalézt zde.

2. Zabezpečení dat 

Ochrana vašich údajů je pro nás klíčová, proto vynakládáme maximální úsilí pro zajištění jejich bezpečnosti. Plně využíváme technická i organizační opatření pro prevenci neoprávněného přístupu k těmto datům a zamezení jejich zničení nebo zneužití. Způsoby zabezpečení vašich dat jsou také pravidelně kontrolovány.

Při zpracování údajů v plné míře využíváme možností pseudonymizace a anonymizace, abychom co nejvíce posílili jejich zabezpečení.   

 

3. Práva subjektů

Nad svými osobními údaji neztrácíte kontrolu. Můžete k nim kdykoliv přistupovat nebo je opravit. Jako subjekt zpracování osobních dat máte také následující práva: právo na potvrzení o zpracování a informace o tom, jaké osobní údaje o vás zpracováváme, na opravu, výmaz (pokud se nejedná o osobní údaje, které jsme povinni nebo oprávněni dále zpracovávat dle příslušných právních předpisů), omezení zpracování, přenos osobních údajů, námitku proti zpracování, podat stížnost u dozorového úřadu(ÚOOÚ), na účinnou soudní ochranu, pokud máte za to, že vaše práva podle Nařízení byla porušena v důsledku zpracování vašich osobních údajů v rozporu s tímto Nařízením. V případě zpracování na základě uděleného dobrovolného souhlasu máte také právo kdykoliv tento souhlas vzít zpět. 

V případě dalších dotazů ohledně zpracování osobních údajů nás můžete kontaktovat na info@dashofer.cz