FAQ - Často kladené otázky

Co se rozumí pod pojmem „pravidelné a systematické monitorování“?

Pojem „pravidelné a systematické monitorování“ s jistotou zahrnuje všechny formy sledování a profilování na internetu, a to i pro účely cílené reklamy. Například:

  • cílení internetové reklamy pomocí e-mailu
  • profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz)
  • sledování polohy, například u mobilních aplikací
  • veškeré věrnostní programy
  • reklama cílená podle předcházejícího hledání na internetu
  • reklama cílená na základě sledování zdravého životního stylu, tělesné kondice a zdravotních dat získaných ze zařízení nošených na těle
  • kamerové systémy

Můžete uvést příklady zpracování, které není „rozsáhlé“?

Jak už bylo uvedeno výše, přesnější vymezení tedy čeká na přijetí prováděcího zákona, nebo spíše na judikaturu a rozhodovací praxi Úřadu pro ochranu osobních údajů. Lze však očekávat, že za rozsáhlé zpracování nebude považováno například:

  • zpracování údajů o pacientech jednotlivým lékařem (s výjimkou tzv. elektronického receptu, neboť v takovém případě se jedná o elektronické předávání dat, které je v GDPR explicitně uvedeno)
  • zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem
  • zpracování u organizace s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje

Můžete uvést příklady toho, co je „rozsáhlým zpracováním osobních údajů“, tedy co spadá do působnosti GDPR?

Obecné nařízení GDPR taxativně neurčuje, co přesně je „rozsáhlým zpracováním osobních údajů“. Přesnější vymezení tedy čeká na přijetí prováděcího zákona, nebo spíše na judikaturu a rozhodovací praxi Úřadu pro ochranu osobních údajů. Je prakticky jisté, že následující příklady budou rozsáhlým zpracováním ve smyslu GDPR:

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice
  • předávání jakýchkoliv údajů o pacientech mezi různými subjekty
  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
  • zpracování údajů o aktuální zeměpisné poloze zákazníků
  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy
  • zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb
  • provozování telekomunikační sítě nebo telekomunikačních služeb

Vztahuje se GDPR na lékárny?

Obecné nařízení GDPR nezmiňuje lékárny explicitně. Zda se na ně GDPR vztahuje, lze proto usuzovat pouze nepřímo, na základě obecných ustanovení. Především, pokud jde o lékárny s velkým počtem receptů a pacientů, ty pod GDPR nepochybně spadají, a to jednak z důvodu, že de iure jde o zdravotnické zařízení, jednak proto, že zpracovávají velký objem vysoce citlivých osobních dat. Otázkou to je u malých lékáren, výdejen a „jednokoněk“; je možné, že podobně jako České lékařské komoře, může se i České lékárnické komoře podařit, vyjednat pro ně výjimku. Jednání v tomto směru dosud nejsou uzavřena. Jisté však je, že v okamžiku, kdy lékárna začne pracovat s elektronickým receptem, bude se na ni GDPR vztahovat naprosto jednoznačně.

Proč nemůžu nechat na svém dodavateli výpočetní techniky, aby se postaral o GDPR a DPO sám?

Pro většinu subjektů by bylo nejjednodušší, kdyby veškerou starost o GDPR i DPO mohly přesunout na svého dodavatele IT. Bohužel, tato možnost je dosti nereálná, protože osoba pověřence (DPO) musí splňovat několik protichůdných požadavků. V první řadě se musí dobře orientovat v IT (což umí málokterý právník), dále musí mít praktickou právní zkušenost ve Správním řádu (protože veškerá jednání s Úřadem pro ochranu osobního vlastnictví probíhají v režimu podle SŘ) a konečně, musí to být člověk se založením „úředníka“ (v dobrém slova smyslu). Málokterý dodavatel IT disponuje pracovníky, schopnými kvalifikovaně pracovat jako DPO. Obvykle je proto bezpečnější, zakoupit si tuto službu od specializované firmy. V konečném důsledku je to dokonce i levnější.

Můžu do funkce Pověřence pro ochranu osobních údajů (DPO) ustanovit svého zaměstnance?

Ne, nemůžete. Obecné nařízení GDPR to výslovně zakazuje s tím, že nesmí existovat možnost pověřence nedovoleným způsobem ovlivňovat. Lze dovodit, že tento zákaz se vztahuje i na jiné formy vztahu než jen na zaměstnanecký poměr, například na dohodu o pracovní činnosti nebo na dohodu o provedení práce.

Zákon o ochraně osobních údajů v českém jazyce

(Obecné nařízení Evropského parlamentu a Rady (EU) 2016-679)


Tel.: +420 234 723 584, +420 603 829 210
info@sluzbyproveduavyzkum.cz
Copyright Jizu.cz © 2017. All Rights Reserved.