WP29 vydává dokumenty, které mají poskytnout výklad novinek zaváděných obecným nařízením o ochraně osobních údajů.
Na této stránce naleznete Pokyny a Vodítka. Pokyny (v angličtině Guidelines) jsou oficiálním překladem EK. U neoficiálních, pracovních překladů ÚOOÚ je pro snadné a na první pohled zřetelné odlišení zachován termín Vodítka.
Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation nahradí dnes při zpracování osobních údajů platné právní předpisy České republiky, zejména pak zákonem č.101/2000 Sb., o ochraně osobních údajů, případně zákonem č. 480/2004 Sb., o některých službách informační společnosti, který reguluje zasílání obchodních sdělení klientům, a dalšími právními předpisy, GDPR nařízení bude přímo použitelné a závazné ve všech členských státech Evropské unie, a to až na výjimky bez nutnosti transpozice do národních právních řádů.
GDPR má za úkol posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států.
Nařízení Evropské Unie o ochraně osobních údajů zavádí princip takzvané zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy nařízení.
GDPR začne v celé EU platit od 25. května 2018.
GDPR správcům osobních údajů nařizuje zavedení vhodných technických a organizačních opatření tak, aby zajistili a byli schopni doložit, že zpracování je prováděno v souladu s tímto nařízením.
Zákonnost - osobní údaje musí být zpracovávány zákonným způsobem.
Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají. Měl by mít možnost toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost.
Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek:
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
osobní údaje musí být přesné a pravdivé a kde je to nutné, průběžně aktualizované.
Omezení uchovávání – osobní údaje musí být uchovávány způsobem, který umožňuje identifikaci subjektu údajů na dobu pouze nezbytně nutnou pro účely jejich zpracování. Údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných tímto nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“).
Omezení účelu – osobní údaje mohou být shromažďovány pro konkrétní, jednoznačné a legitimní účely a nesmí být dále zpracovávány způsobem, který s těmito účely není v souladu.
Pro každé zpracování musí být stanoven konkrétní a legitimní účel (například oprávněný zájem pro zasílání newsletterů, oprávněný zájem pro zasílání faktur…).
Údaje, které jsou shromážděny a získány pro různé účely (například pro fakturaci a pro zasílání marketingových údajů) musí být evidovány a zpracovány odděleně.