Ochrana osobních údajů – Terminologie

Následující příspěvek je zaměřen na terminologii z oblasti ochrany osobních údajů, což souvisí se stále dostupnějšími elektronickými prostředky pro zpracování osobních údajů. Péče o ochranu byla vyjádřena např. v následujících dokumentech EU i ČR:

• Směrnice 95/46/ES (účinnost od 13. 12. 1995), o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (on the protection of individuals with regard to the processing of personal data and on the free movement of such data).
• Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (původní účinnost od 1. 6. 2000), transponuje směrnici 95/46/ ES a je základním právním předpisem upravujícím ochranu osobních údajů a činnost Úřadu pro ochranu osobních údajů.
• Nařízení EU 2016/679 (účinnost od 25. 5. 2018) ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Zkrácený název nařízení 2016/679 je obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, nařízení GDPR).
• Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.
• Zákon o zpracování osobních údajů (projednáván poslaneckou sněmovnou), adaptuje nařízení GDPR a zapracovává příslušné předpisy EU; zároveň navazuje na přímo použitelné předpisy EU a k naplnění práva každého na ochranu osobních údajů upravuje práva a povinnosti při zpracování osobních údajů.

Nařízení GDPR, tj. nařízení 2016/679, je předmětem mnoha žhavých diskuzí, opatření a školení v mnoha organizacích po celé Evropské unii (viz obr. 1).

Úřad pro ochranu osobních údajů (Office for Personal Data Protection) má působnost vymezenu zákony o ochraně a o zpracování osobních údajů. Pro některé zvláštní agendy je působnost vymezena ve zvláštních právních předpisech.

Právní akty EU, např:

• nařízení (regulation) jsou obecně závazná a bezprostředně použitelná v každém členském státě,
• rámcová nařízení (framework regulations) předpokládají vydání národního prováděcího předpisu,
• směrnice (directives) musí být transponovány do práva jednotlivých členů,
• rozhodnutí (decisions).

Nařízení EU (EU regulation), např:

• nařízení Evropského parlamentu a Rady (Regulation of the European Parliament and of the Council),
• nařízení rady (Council Regulation),
• nařízení komise (Commission Regulation),
• implementační nařízení komise (Commission Implementing Regulation).

Klasifikace souvisejících termínů (Nařízení GDPR)

Biometrické údaje (biometric data) – osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, např:

• zobrazení obličeje (facial images) nebo
• daktyloskopické údaje (dactyloscopic data).

Dotčený dozorový úřad (supervisory authority concerned) – dozorový úřad, kterého se zpracování osobních údajů dotýká, neboť:

• správce či zpracovatel je usazen na území členského státu tohoto dozorového úřadu,
• subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny nebo
• u něj byla podána stížnost.

Hlavní provozovna (main establishment):

• správce s provozovnami ve více než jednom členském státě,
• zpracovatel s provozovnami ve více než jednom členském státě.

Přeshraniční zpracování (cross-border processing):

• zpracování probíhá v souvislosti s činnostmi provozoven ve více než jednom členském státě,
• zpracováním budou podstatně dotčeny subjekty údajů ve více než jednom členském státě.

Veřejný subjekt (public body), např:

• ministerstva, další ústřední orgány státní správy a úřady jim podřízené,
• veřejné sbory, ozbrojené sbory,
• veřejné školy,
• veřejná zdravotnická zařízení.

Vysvětlivky k souvisejícím termínům (Nařízení GDPR)

• Dozorový úřad (supervisory authority) – nezávislý orgán veřejné moci zřízený členským státem.
• Evidence (filing system) – jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
• Genetické údaje (genetic data) – osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby.
• Identifikátor (identifier) – např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
• Identifikovatelná fyzická osoba (identifiable natural person) – fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor.
• Mezinárodní organizace (international organisation) – organizace a jí podřízené subjekty podléhající mezinárodnímu právu veřejnému nebo jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.
• Omezené zpracování (restriction of processing) – označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.
• Osobní údaje (personal data) – veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
• Podnik (enterprise) – jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, které běžně vykonávají hospodářskou činnost.
• Porušení zabezpečení osobních údajů (personal data breach) – porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
• Pověřenec pro ochranu osobních údajů (Data protection officer) – jmenován správcem a zpracovatelem zejména pro operace zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
• Profilování (profiling) – jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě.
• Příjemce (recipient) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.
• Pseudonimizace (pseudonymisation) – zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací.
• Skupina podniků (group of undertakings) – skupina zahrnující řídicí podnik a jím řízené podniky.
• Služba informační společnosti (information society service) – služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535.
• Souhlas subjektu ůdajů (consent’ of the data subject) – jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
• Správce (controller) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
• Subjekt údajů (data subject) – fyzická osoba identifikovatelná příslušnými osobními údaji.
• Třetí strana (third party) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, která je oprávněna ke zpracování osobních údajů.
• Údaje o zdravotním stavu (data concerning health) – osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby.
• Úřad pro ochranu osobních údajů (Office for Personal Data Protection) – zřízen zákonem č. 101/2000 Sb., o ochraně osobních údajů.
• Zástupce (representative) – jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena, aby správce nebo zpracovatele zastupovala.
• Závazná podniková pravidla (binding corporate rules) – koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu.
• Zpracování (processing) – jakákoliv operace nebo soubor operací s osobními údaji nebo se soubory osobních údajů prováděné pomocí či bez pomoci automatizovaných postupů.
• Zpracovatel (processor) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Texty citovaných zákonů, směrnic a nařízení (včetně návrhových verzí)

• web Úřadu pro ochranu osobních údajů: https://www.uoou.cz/,
• https://www.gdpr.cz,
• zakony.centrum.cz,
• https://eur-lex.europa.eu, např. webový dotaz: „eur lex 2016/679“ atp.