Úřad pro ochranu osobních údajů je ústředním správním úřadem, který působí v oblasti ochrany osobních údajů. Činnost úřadu je vymezena zákonem č. 110/2019 Sb., o zpracování osobních údajů (§ 50 – § 60).
Ochrana osobních údajů je v dnešní době stěžejní. Jak Úřad pro ochranu osobních údajů reguluje spam, kdy je povoleno zpracovávat osobní údaje bez souhlasu a jak se legislativa změnila s příchodem GDPR?
Co je Úřad pro ochranu osobních údajů
Úřad pro ochranu osobních údajů byl zřízen v roce 2000 zákonem č. 101/2000 Sb. Tento zákon o ochraně osobních údajů byl následně od 24.4.2019 nahrazen již zmíněným zákonem o zpracování osobních údajů.
Podle zákona č. 480/2004 Sb., o některých službách informační společnosti je ÚOOÚ rovněž dozorovým orgánem v oblasti šíření obchodních sdělení (spam). V listopadu roku 2023 byla Úřadem právě v tomto odvětví udělena rekordní pokuta ve výši bezmála osm milionů Kč.
Dalším stěžejním právním předpisem v oblasti ochrany osobních údajů je Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – zkráceně GDPR.
GDPR
Obecné nařízení o ochraně osobních údajů (GDPR) vstoupilo v účinnost v roce 2018. Základním cílem tohoto předpisu je stanovit univerzálně platná pravidla pro subjekty, které při své činnosti zpracovávají osobní údaje.
Hlavním přínosem GDPR je sjednocení daných pravidel v rámci Evropské Unie.
Působnost ÚOOÚ
Obecnou působnost Úřadu pro ochranu osobních údajů vymezuje již zmíněný zákon o ochraně osobních údajů. Jde zejména o dozorovu činnost, přijímání podnětů a konzultace ohledně ochrany osobních údajů.
Jedním z důležitých úkolů, které Úřad pro ochranu osobních údajů má, je ochrana před nevyžádanou poštou. ÚOOÚ nicméně na svém webu informoval, že není příslušným k řešení nevyžádané pošty v datových schránkách. Přestupky v této oblasti jsou totiž v dikci Digitální a informační agentury.
Zvláštní působnost ÚOOÚ pak upravují různé jednotlivé právní předpisy. Namátkou jde například o zákon o elektronických komunikacích, o regulaci reklamy či o cestovních dokladech.
ÚOOÚ rovněž může při porušení GDPR udělit viníkům pokuty, a to v nemalé výši.
Ochrana osobních údajů
Je zřejmé, že ochrana osobních údajů je obzvláště důležitá v digitálním věku, kdy se shromažďuje a analyzuje obrovské množství těchto údajů prostřednictvím internetu, sociálních sítí, mobilních aplikací a různých online služeb.
Co je osobní údaj
A co to vlastě osobní údaje jsou? Osobní údaj je jakákoli informace, která se vztahuje na identifikovatelnou fyzickou osobu. Tato poměrně široká definice zahrnuje například:
- Základní identifikační informace: jméno, příjmení, domácí adresa, e-mailová adresa (obahuje-li jméno a příjmení), telefonní číslo,
- Identifikační čísla: rodné číslo, pasové číslo,
- Lokalizační údaje: GPS data, IP adresa,
- Osobní charakteristiky: rasa, etnický původ, pohlaví, věk,
- Fyzické charakteristiky: vzhled, otisky prstů, DNA,
- Zdravotní informace: lékařské záznamy, informace o zdravotním stavu,
- Ekonomické informace: informace o bankovním účtu, kreditní skóre, údaje o příjmu,
- Sociální vztahy: informace o rodinném stavu, přátelích, sociálních sítích,
- Profesionální informace: zaměstnání, pracovní historie, vzdělání.
Zvláštní kategorie osobních údajů
Zvláštní kategorie osobních údajů, často označované jako „citlivé osobní údaje„, jsou druhem informací, které kvůli své povaze vyžadují vyšší úroveň ochrany. Tyto údaje jsou považovány za citlivé, protože jejich zpracování může mít značné riziko pro práva a svobody jednotlivců.
Podle GDPR zahrnují tyto kategorie:
- Rasový nebo etnický původ,
- Politické názory,
- Náboženské nebo filosofické přesvědčení,
- Odborová příslušnost,
- Genetické údaje,
- Biometrické údaje,
- Zdravotní údaje,
- Údaje o sexuální orientaci a sexuálním životě.
Zpracování těchto zvláštních kategorií osobních údajů je obecně zakázáno, pokud není získán výslovný souhlas nebo pokud není splněna jiná zákonná výjimka. Tato pravidla mají chránit jednotlivce před diskriminací, zneužitím nebo jinými negativními dopady, které by mohly vzniknout v důsledku zpracování těchto citlivých údajů.
Zpracování osobních údajů bez souhlasu
Z výše uvedeného plyne, že alfou omegou k zpracování osobních údajů je souhlas dotčené osoby. Ale kdy je povoleno zpracovávat osobní údaje bez souhlasu?
Lze to v určitých situacích, zejména když je to nutné pro splnění některých specifických účelů nebo povinností. Může jít například o veřejný zájem nebo třeba zpracování údajů pro účely archivnictví.
Veřejný registr zpracování osobních údajů
Nyní již neplatný zákon o ochraně osobních údajů obsahoval oznamovací povinnost správců osobních údajů, kteří se museli registrovat u ÚOOÚ – za tím účelem byl veden veřejný registr zpracování osobních údajů. Nicméně s příchodem GDPR byla činnost registru zastavena.
Obdobou původní oznamovací povinnosti jsou nyní “záznamy o činnostech”. Správci a zpracovatelé osobních údajů jsou povinni vést si o určitých událostech záznamy. Jedná se hlavně o větší podniky, které zpracovávají rizikové informace.
Poslední aktualizace: 20. prosince 2023