Ochrana osobních údajů

Z Encyklopedie BOZP
Skočit na navigaciSkočit na vyhledávání

Ve všeobecnosti je možno pod pojmem „ochrana“ rozumět snahu o eliminaci nějakého hrozby či rizika. Slovo „hrozba“ je domácího původu, které bývá používáno v následujících významech:[1]

  1. hrozivá blízkost něčeho negativního, blížící se nebezpečí;
  2. hrožení, výhrůžka, pohrůžka, nátlak nebo výstraha.

Z pohledu ochrany osobních údajů je relevantní první uvedený význam. Termín „riziko“ se do českého jazyka dostal přes německý výraz Risiko, který vznikl z italských slov risico a risco, tj. nebezpečí, jejichž etymologie není zcela zřejmá a předpokládá se, že mají svůj původ ve vulgárnělatinském výrazu skalisko.[2] Tento pojem má více významů, avšak v uvažovaném kontextu jde o možnost vzniku škody, újmy či jiných škodlivých následků.

V případě ochrany osobních údajů se tyto hrozby a rizika týkají osobních údajů. Ústředním pojmem je zde tedy pojem „osobní údaj“. Pojem „osobní údaj“ je přitom podřízen pojmu „soukromí“. Právo na ochranu soukromí (a tím i na ochranu osobních údajů) je garantováno v několika článcích Listiny práva svobod. Konkrétně jde o čl. 7 odst. 1 (nedotknutelnost osoby a jejího soukromí), dále o čl. 10 odst. 1 až 3 (právo na zachování důstojnosti, osobní cti a pověsti a na ochranu jména, právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným užíváním údajů) a čl. 13 Listiny práv a svobod (právo na ochranu listovního tajemství). Konečně je třeba zmínit, že právo na ochranu osobních údajů, které se jej týkají, přiznávají každému ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a ustanovení čl. 16 odst. 1 Smlouvy o fungování Evropské unie.

Základní právní úprava v této oblasti je představována především Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Obecné nařízení“), které je přímo použitelné ve všech členských státech Evropské unie, a dále také zákonem č. 110/2019 Sb., o zpracování osobních údajů. Vedle těchto právních předpisů je soukromí (a tím i osobní údaje) chráněno i celou řadou dalších právních předpisů – především zákonem č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, zákonem č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů, zákonem č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů nebo zákonem č. 46/2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon), ve znění pozdějších předpisů.

Ochrana osobních údajů je v první řadě věcí správce, případně i zpracovatele, avšak chovat se v souladu se zásadami zpracování osobních údajů jsou veškeré osoby, které s nimi přijdou do kontaktu. Za nezbytný předpoklad ochrany osobních údajů, potažmo dosažení souladu zpracování osobních údajů s požadavky stanovenými Obecným nařízením a dalšími právními předpisy je třeba považovat řádné zabezpečení osobních údajů.[3] Prvním krokem zabezpečení osobních údajů je posouzení rozsahu, efektivity a úrovně přijatých opatření technického a organizačních rázu. Cílem tohoto vyhodnocení je vyhodnocení úrovně zajištění důvěrnosti, integrity a dostupnosti osobních údajů. Dále je nezbytné posoudit rizika pro osobní údaje. Výstupem tohoto posouzení je stanovení nebezpečnosti jednotlivých hrozeb a sada doporučených opatření, které by se měly v první řadě zaměřit na hrozby způsobující největší riziko.[4]

Elementární požadavky na zabezpečení zpracování osobních údajů uvádí ustanovení čl. 32 Obecného nařízení: 1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

  • a) pseudonymizace a šifrování osobních údajů;
  • b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
  • c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
  • d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

3. Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42.

4. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

Reference

  1. ZEMAN, Petr. Česká bezpečnostní terminologie: výklad základních pojmů. Brno: Ústav strategických studií Vojenské akademie v Brně, 2002. S. 54.
  2. REJZEK, Jiří. Český etymologický slovník. 2. nezměn. vyd. Voznice: Leda, 2012. S. 569.
  3. ŽŮREK, Jiří. Praktický průvodce GDPR. Olomouc: ANAG, [2017]. S. 92.
  4. JANEČKOVÁ, Eva. GDPR: praktická příručka implementace. Praha: Wolters Kluwer, 2018. S. 49-50.


Ochrana osobních údajů - (Diskuse k heslu)
Anglicky: Německy: Francouzsky:
Protection of personal data Schutz personenbezogener Daten Protection des données personnelles