Co je obecné nařízení o ochraně osobních údajů (GDPR)
Obecné nařízení představuje novou evropskou regulaci ochrany osobních údajů, která je účinná od 25. května 2018 a nahrazuje zákon č. 101/2000 Sb., o ochraně osobních údajů. GDPR stanovuje pravidla pro zpracování osobních údajů, jimiž se řídí i FreshFlow Systems s.r.o.
Kdo se GDPR musí řídit?
Obecným nařízením se musí především řídit všechny subjekty, které provádějí zpracování osobních údajů, tj. správci osobních údajů, těmi jsou většinou uživatelé FreshFlow, příp. centrály. Dále se jimi musí řídit také subjekty, které pro správce osobní údaje zpracovávají, tj. zpracovatelé – zde se jedná zejm. o FreshFlow Systems s.r.o. Práva vyplývající z obecného nařízení pak plynou fyzickým osobám neboli subjektům údajů, což jsou zejm. Vaši klienti.
Co je osobní údaj a zpracování osobních údajů?
Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejm. odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor apod.) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Zpracováním se rozumí jakákoli operace nebo soubor operací, které jsou prováděny s osobními údaji pomocí či bez pomoci automatizovaných postupů, jako je zejm. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Z uvedeného vyplývá, že v rámci FreshFlow může docházet ke zpracování osobních údajů ve smyslu GDPR.
Jakými zásadami se při zpracování řídit?
Následující zásady představují základ legálního zpracování a musí být při zpracování osobních údajů z Vaší strany dodržovány:
- zákonnost, korektnost, transparentnost – osobní údaje můžete zpracovávat pouze na základě nejméně jednoho právního důvodu (titulu) a vůči klientům jakožto subjektům údajů musíte jednat transparentně a korektně;
- omezení účelu – osobní údaje můžete shromažďovat pouze pro jasně vymezené účely, o kterých musíte Vaše klienty informovat;
- minimalizace údajů – můžete zpracovávat údaje klientů pouze v rozsahu nezbytném pro naplnění daného účelu;
- přesnost – osobní údaje, které zpracováváte, by měly být přesné a aktuální;
- omezení uložení – osobní údaje smíte zpracovávat jen po dobu nezbytnou pro daný účel;
- integrita a důvěrnost – osobní údaje by měly být technicky a organizačně zabezpečeny, aby nedošlo k neoprávněnému přístupu, zkopírování, zveřejnění, pozměnění nebo zničení prolomením bezpečnostních opatření.
Co znamenají právní důvody (tituly) zpracování osobních údajů?
Právními důvody (tituly) se rozumí oprávnění správce osobní údaje zpracovávat. Jedná se o zpracování založené na (i) souhlasu, (ii) plnění smlouvy, (iii) zákonné povinnosti, (iv) ochraně životně důležitých zájmů subjektu údajů, (v) splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo (vi) oprávněném zájmu správce či třetí strany. Právní důvody (tituly) jsou základním předpokladem pro zpracování v souladu s GDPR, a proto nedisponujete-li žádným z výše uvedených právních důvodů ke zpracování osobních údajů, nemůžete osobní údaje legálně zpracovávat.
Právní důvod se vždy určí podle účelu, za kterým zpracování provádíte. V případě zpracování osobních údajů Vašich klientů, které ukládáte do FreshFlow, se bude nejčastěji jednat o zpracování založeném na souhlasu, který Vám klient udělil, případně o zpracování údajů, které potřebujete pro plnění smlouvy uzavřené s klientem nebo pro splnění povinnosti, kterou Vám ukládá právní předpis.
Jak by měl vypadat souhlas se zpracováním osobních údajů?
Souhlas se zpracováním osobních údajů udělený Vašimi klienty musí být svobodný, konkrétní, informovaný a jednoznačný. Jedná se o aktivní a dobrovolný projev vůle Vašich klientů jakožto subjektů údajů, k němuž nesmí být nuceni. Poskytuje se k určitému účelu zpracování, o kterém Vaši klienti musí být informováni.
Souhlas je vždy odvolatelný. V případě odvolání souhlasu jste povinni přestat zpracovávat (resp. zlikvidovat) osobní údaje pro účely uvedené v souhlasu, avšak můžete příp. zároveň nadále dané osobní údaje zpracovávat pro jiné účely, pro které využijete jiné právní důvody zpracování než souhlas.
Co jsou citlivé údaje?
Citlivé údaje (neboli zvláštní kategorie osobních údajů) jsou osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby a genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.
Pokud zpracováváte citlivé údaje, musíte k tomu mít výslovný souhlas Vašich klientů jakožto subjektů údajů nebo naplnit jinou výjimku stanovenou GDPR.
Jaká mají subjekty údajů práva?
Všichni Vaši klienti mají právo na určité informace o zpracování jejich osobních údajů. Jde především o informace o účelu zpracování, právním důvodu, době zpracování atd. Úplný výčet informací, které musíte klientům poskytnout při shromažďování jejich osobních údajů naleznete v čl. 13 a 14 GDPR (informační povinnost).
Dále mají Vaši klienti (většinou v případě splnění dalších podmínek) i další práva založená na jejich aktivitě (žádosti):
- právo na přístup k osobním údajům;
- právo na opravu, resp. doplnění;
- právo na výmaz;
- právo na omezení zpracování;
- právo na přenositelnost údajů;
- právo vznést námitku,
- právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování.
V případě, že vůči Vám tato práva uplatní, máte povinnost se jejich žádostí zabývat a bez zbytečného odkladu (nejpozději do 1 měsíce) ji bezplatně vyřídit.
Jakým způsobem jsou osobní údaje zabezpečeny?
Jakožto správci či zpracovatelé osobních údajů máte povinnost dle GDPR přijmout adekvátní technická a organizační bezpečnostní opatření, a to s ohledem na povahu, rozsah a účely zpracování.
Osobní údaje uložené ve FreshFlow jsou technicky a organizačně zabezpečeny s ohledem na aktuální stav technologií. Jsou prováděny pravidelné kontroly, zda software neobsahuje slabiny, nedošlo k porušení zabezpečení či nebyl vystaven útoku. FreshFlow používá taková bezpečností opatření, aby, pokud je to možné, nedošlo k neoprávněnému přístupu k osobním údajům, aby k nim nezískala přístup třetí osoba, nebyly zkopírovány, zveřejněny, pozměněny nebo zničeny prolomením bezpečnostních opatření. Přijatá opatření jsou taktéž pravidelně aktualizována.
Co se rozumí porušením zabezpečení osobních údajů?
Za porušení zabezpečení osobních údajů se považuje porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Pokud dojde k porušení zabezpečení, máte povinnost toto porušení bez zbytného odkladu a pokud možno do 72 hodin ohlásit Úřadu pro ochranu osobních údajů (a v případě vysokého rizika i samotným subjektům údajů), ledaže je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob.
Pokud nastane porušení zabezpečení na straně FreshFlow, ohlásí Vám jej.
Plynou z GDPR i další povinnosti?
Mezi další povinnosti, které GDPR přináší pro některé správce a zpracovatele, zejm. patří:
- vedení záznamů o činnostech zpracování;
- provádění posouzení vlivu na ochranu osobních údajů (DPIA);
- předchozí konzultace s ÚOOÚ;
- jmenování pověřence pro ochranu osobních údajů (DPO);
- povinnosti spojené s předáváním osobních údajů do třetích zemí mimo EU.
GDPR a FreshFlow
FreshFlow Systems s.r.o. se při zpracování osobních údajů řídí Zásadami ochrany soukromí a zpracování osobních údajů. Údaje Vašich klientů FreshFlow Systems s.r.o. zpracovává jakož to zpracovatel, přičemž má vždy uzavřenu smlouvu o zpracování s Vámi a/nebo s Vaší centrálou v souladu s čl. 28 GDPR.
V případě provedení některých akcí Vás FreshFlow automaticky upozorní na nutnost plnit některé povinnosti stanovené obecným nařízení.
V případě jakéhokoli dalšího dotazu týkajícího se ochrany soukromí a zpracování osobních údajů se neváhejte obrátit na info@freshflow.cz.