Povinnost jmenovat pověřence pro ochranu osobních údajů je dána správci a zpracovateli pouze v případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů při výkonu jejich soudních pravomocí
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování subjektů údajů
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
(čl. 37 odst. 1 Obecného nařízení - http://www.privacy-regulation.eu/cs/37.htm)
V rámci bežné činnosti elektronických obchodů, která nejčastěji spočívá v prodeji zboží či služby, se nebude jednat o naplnění ani jedné z výše uvedených podmínek a tudíž jmenovat pověřěnce pro ochranu osobních udajů nebude třeba.
Relevantním kritériem pro povinné jmenování pověřence u elektronických obchodů bude bod b) a c). Doporučuji nahlédnout do dokumentu pracovní skupiny WP29, který konkrétně definuje pojmy "hlavni činnosti, rozsáhlé zpracování, pravidelné a systematické monitorování" a provést interní analýzu, zda je nebo není nutné pověřence jmenovat.
(https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=23463)
1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
3. Každý, kdo shromažduje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.
4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.
5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.
Opět klamavá a zaručená informace, převzato ze stránek Úřadu pro ochranu osobních údajů:
Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť, je to na jeho vůli.
V této souvislosti je třeba zdůraznit, že přenos dat se řídí GDPR toliko podpůrně. Primární regulací je směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
Sledování pouze v legitimních případech
Evropský soud vyložil právo na soukromí v jeho nejširším záběru, podle kterého se soukromý život promítá i do na první pohled „nesoukromých“ sfér. Jakékoliv sledování zaměstnanců je možným zásahem do základního lidského práva na ochranu soukromí a jako takové bude přípustné pouze, pokud bude dostatečně prokázán jeho legitimní důvod. V případě snaha o zvýšení bezpečí osob a ochrana majetku, nebyly podle práva shledány jako dostatečné důvody. Co si z popsaného případu vzít? Provozujete-li kamerové systémy na pracovišti, uvědomte si, že musíte vyhovět nejen požadavkům ze zákoníku práce, ale stáváte se i správcem osobních údajů, a musíte tak reflektovat příslušnou právní regulaci a blížící se nařízení o ochraně osobních údajů (GDPR) se vás tak pravděpodobně dotkne i v této rovině.
Povinnosti pro správce osobních údajů:
Při instalaci kamerového systému by si měl každý zaměstnavatel položit dvě otázky – jednak zda míra zásahu do soukromí „sledovaných“ zaměstnanců nepřevýší míru majetkového či bezpečnostního rizika, jednak zda je připraven a ochoten plnit veškeré povinnosti z práva na ochranu osobních údajů pro něj vyplývající.
HTTPS nebude z hlediska GDPR povinné, rozhodně ne pro všechny. Jedná se pouze o doporučení pro ty, u kterých je zvýšená míra rizika. Je ale nutné zmínit, že nešifrované HTTP nese jistou míru rizika vždycky. "Obecně všechny stránky, které od svých uživatelů sbírají jakékoliv informace, byť jen formou kontaktního formuláře, by proto měly používat HTTPS. U e-shopů to pak logicky platí dvojnásobně," říká Antonín Kozan, zástupce společnosti Alpiro, která nabízí certifikace na webu ssls.cz. SSL/TLS certifikát je podle něj, a v dlouhodobém časovém horizontu dál bude, dostatečným technickým opatřením pro zabezpečení informací přenášených mezi klientským počítačem a serverem. "Podnikatelé by měli od dodavatelů webových stránek už automaticky vyžadovat podporu HTTPS protokolu, a to i když nezabezpečují citlivou komunikaci. I ty nejjednodušší firemní stránky mají totiž většinou alespoň jeden kontaktní formulář, a pokud bude nezabezpečený, budou stránky označené jako nedůvěryhodné," doplňuje Petr Komárek, který je přesvědčen, že dnes už nemá smysl řešit, jestli HTTPS ano, nebo ne a co by se bez něj případně mohlo stát, ale hlavně to, jak tento protokol na firemní stránky nasadit.
SSL/TLS otevřený protokol a jedna z nejvíce používaných metod pro zabezpečení datových přenosů v rámci internetu mezi serverem s webovou prezentací a prohlížečem. Zabezpečuje tedy internetové spojení například mezi zákazníkem (jeho prohlížečem) a obchodníkem (webem, na kterém prohlížená stránka nebo e-shop funguje). Prostřednictvím šifrování chrání před zneužitím třeba zadané přihlašovací údaje, informace o platebních kartách a zabraňuje nežádoucím úpravám přenášených informací. Dalo by se namítnout, že spojení GDPR a SSL/TLS certifikátů není zcela správné, protože evropské nařízení o ochraně osobních údajů hovoří o správcích a zpracovatelích a certifikace primárně slouží k zabezpečení dat na cestě mezi serverem a prohlížečem.
