Ochrana osobních údajů - GDPR

Informace o ochraně osobních údajů

k Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „Nařízení“).

 

1. Principy zpracování osobních údajů

Statutární město jako správce i zpracovatel se při zpracování osobních údajů řídí Nařízením a dalšími právními předpisy upravujícími ochranu osobních údajů a stanovenými principy. Základní principy vycházející z nařízení jsou následující:

  • Zákonnost, korektnost a transparentnost zpracování
  • Účelové omezení (zpracovávání jen pro určité a legitimní účely)
  • Minimalizace osobních údajů (dochází ke zpracování pouze v nezbytně nutném rozsahu ve vztahu k danému účelu)
  • Přesnost a aktuálnost (organizace dbá na to, aby nepřesné, chybné či neaktuální osobní údaje byly bezodkladně opraveny nebo vymazány)
  • Omezené uložení (osobní údaje jsou v organizaci uloženy po dobu ne delší, než je nezbytně nutné pro účely, pro které jsou zpracovávány a dále dle schváleného spisového plánu správce pouze pro účely archivnictví v rozsahu stanoveném příslušnými právními předpisy)
  • Integrita a důvěrnost (osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením).

2. Zpracování osobních údajů

Statutární město Liberec (dále jen správce) zpracovává osobní údaje subjektů údajů, tj. fyzických osob, na základě následujících právních titulů: 

  • Plnění právní povinnosti  

Právní předpis po správci požaduje, aby osobní údaje zpracovával, resp. aby prováděl určitou činnost, pro kterou je zpracování osobních údajů nezbytné. Tento právní titul je u správce, jakožto orgánu veřejné moci, velmi frekventovaný.

  • Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu

Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jedná se například o situace, kdy je správci dáno určité oprávnění stanovené v právním předpisu.

  • Plnění smlouvy

Správce zpracovává osobní údaje subjektů údajů pro účely související s provedením opatření přijatých před uzavřením smlouvy nebo plněním smluvních vztahů obou smluvních stran, jedná se např. o zpracování osobních údajů za účelem uzavření nájemní smlouvy.

  • Oprávněný zájem

Právní titul oprávněného zájmu správce se uplatňuje u takových zpracování osobních údajů, kde převažují legitimní zájmy či práva správce nad zájmy či právy subjektu údajů, a to při zohlednění přiměřeného očekávání subjektů údajů na základě jeho vztahu se správcem. Jedná se např. o ochranu majetku správce, života a zdraví zaměstnanců, osob vstupujících do objektů správce.

  • Ochrana životně důležitého zájmu

V případě, kdy je zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Tento právní titul se využije pouze výjimečně v případě přírodních pohrom, nehod, požárů apod.

  • Souhlas

V případě, že správce zpracovává osobní údaje subjektu pro účely, které nelze zařadit pod účely uvedené výše, může tak činit pouze na základě uděleného platného souhlasu se zpracováním osobních údajů ze strany subjektu, který je projevem svobodné vůle. Poskytnutí takového souhlasu je dobrovolné, svobodné a nepodmíněné. Udělený souhlas lze kdykoliv odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

 

3. Práva subjektu údajů

Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů jako celku, jelikož subjekt údajů je často ve slabším postavení než správce a tudíž vybalancovávají vztah mezi ním a správcem.

Výčet práv subjektu údajů:

  • Na přístup k informacím – se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
    • Účely zpracování.
    • Kategorie dotčených osobních údajů.
    • Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny.
    • Plánovaná doba, po kterou budou osobní údaje uloženy.
    • Existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku.
    • Právo podat stížnost u dozorového úřadu.
    • Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů.
    • Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

 

  • Na opravu respektive doplnění – subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

 

  • Na výmaz údajů („být zapomenut“) – představuje v obecném nařízení GDPR jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

 

  • Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány.
  • Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování.
  • Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování.
  • Osobní údaje byly zpracovány protiprávně.
  • Osobní údaje musí být vymazány ke splnění právní povinnosti.
  • Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení GDPR.

Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost. Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývají z jeho podstaty.

Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

  • Na omezení zpracování – je zcela nové právo subjektu údajů omezit zpracování osobních údajů správcem.
  • Na přenositelnost zpracování – je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci, je-li to technicky proveditelné.
  • Na námitku proti zpracování – subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
    • Zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
    • Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

  • Automatizovanému individuálnímu rozhodování včetně profilování – toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo ČR nebo pokud je založeno na výslovném souhlasu subjektu údajů.

 

4. Informační povinnost vůči subjektům údajů

  • Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 obecného nařízení GDPR.
  • Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle obecného nařízení GDPR.
  • Do poskytovaných informací subjektu údajů patří:
    • Totožnost a kontaktní údaje správce a jeho případného zástupce.
    •  Případně kontaktní údaje případného pověřence pro ochranu osobních údajů.
    • Účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování.
    • Oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f).
    • Případné příjemce nebo kategorie příjemců osobních údajů.
    • Případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
  • Vedle informací uvedených v předchozím odstavci 3 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
    • Doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby.
    • Existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů.
    • Pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
    • Existence práva podat stížnost u dozorového úřadu.
    • Skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů.
    • Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 obecného nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
  • Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
  • Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.
  • Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 obecného nařízení GDPR a učinil veškerá sdělení podle článků 15 až 22 a 34 obecného nařízení GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
  • Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
  • Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.

 

Kontaktní údaje Správce:

Název organizace

Statutární město Liberec

Sídlo organizace

nám. Dr. E. Beneše 1/1, 460 59 Liberec I

00262978

Statutární zástupce

Tibor Batthyány

Kontaktní telefon

+420 485 243 111

Kontaktní e-mail

info@magistrat.liberec.cz

El. podatelna

posta@magistrat.liberec.cz

ID datové schránky

7c6by6u

Web

www.liberec.cz

 

Kontaktní údaje Pověřence:

Titul

Ing.

Jméno

Jindřich

Příjmení

Fadrhonc

Kontaktní telefon

+420 485 243 109

Kontaktní e-mail

gdpr.poverenec@magistrat.liberec.cz