Zásady zpracování osobních údajů – GDPR

Úvodní slovo

Dne 30. dubna 2016 vydává všeobecný webový magazín, Bloumatel.com, na internetu působící jako zpravodajská služba, „Zásady ochrany osobních údajů,“ jež jsou od 27. dubna 2016, dle nařízení Evropské unie a rady Evropské unie, povinnou náležitostí každé ať už fyzické či právní osoby, která shromaďuje a zpracovává osobní údaje fyzických či právních osob.

V níže uvedených zásadách ochrany osobních údajů, dále vystupuje magazín, Bloumatel.com pod dvěma termíny. A to sice jako „Provozovatel,“ či „Poskytovatel služeb.“ Samotné zásady ochrany osobních údajů nabývají platnosti dnem zveřejnění.

Použité definice

A) “Uživatelem”
Se rozumí jakákoli fyzická osoba používající veřejně dostupnou službu elektronické komunikace pro soukromé či obchodní účely, přičemž není nezbytně nutné, aby byla účastníkem této služby.

B) “Provozními údaji”
Se rozumějí jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování.

C) “Lokalizačními údaji”
Se rozumějí jakékoli údaje zpracovávané v síti elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací.

D) “Sdělením”
Se rozumí jakákoli informace, která se vyměňuje nebo přenáší mezi určitým počtem zúčastněných stran prostřednictvím veřejně dostupné služby elektronických komunikací; toto nezahrnuje informace přenášené jako součást vysílání pro veřejnost prostřednictvím sítě elektronických komunikací s výjimkou případů, kdy lze informace přiřadit k identifikovatelnému účastníku nebo uživateli, který tyto informace přijímá.

E) “Souhlas”
Uživatele či účastníka odpovídá souhlasu subjektu údajů podle směrnice 95/46/ES.

F) “Službou s přidanou hodnotou”
Se rozumí jakákoli služba vyžadující zpracování provozních údajů nebo lokalizačních údajů odlišných od provozních, pokud jdou nad rámec toho, co je nezbytné pro přenos sdělení nebo jeho účtování.

Úvod a seznámení

Odstavec 1.
Do veřejných komunikačních sítí ve Společenství jsou zaváděné nové vyspělé digitální technologie, jež s sebou přinášejí zvláštní požadavky na ochranu osobních údajů a soukromí uživatelů. Rozvoj informační společnosti je charakterizován zaváděním nových služeb elektronických komunikací. Přístup k digitálním mobilním sítím se stal dosažitelným a finančně dostupným pro širokou veřejnost. Tyto digitální sítě mají značné kapacity a možnosti pro zpracování osobních údajů. Úspěšný přeshraniční rozvoj těchto služeb částečně závisí na důvěře uživatelů, že jejich soukromí nebude vystaveno riziku.

Odstavec 2.
Internet převrací tradiční struktury trhu tím, že poskytuje společnou, obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí.

Odstavec 3.
V případě sítí veřejných komunikací je nutno přijmout zvláštní právní, regulační a technická ustanovení na ochranu základních práv a svobod fyzických osob a ochranu oprávněných zájmů právnických osob, zejména s ohledem na zvyšující se kapacitu automatického uchovávání a zpracování údajů týkajících se účastníků a uživatelů.

Odstavec 4.
Účastníky veřejně dostupné služby elektronických komunikací mohou být fyzické nebo právnické osoby. Tato směrnice doplňuje směrnici 95/46/ES a jejím cílem je chránit základní práva fyzických osob, zejména jejich právo na soukromí, jakož i oprávněné zájmy právnických osob.

Odstavec 5.
Lokalizační údaje se mohou týkat zeměpisné šířky, délky a nadmořské výšky koncového zařízení účastníka, směru pohybu, úrovně přesnosti lokalizačních informací, identifikace síťové buňky, ve které je koncové zařízení umístěno v určitém časovém bodu, a časového úseku, ve kterém byla lokalizační informace zaznamenána.

Povinnosti provozovatele zpravodajského serveru

Odstavec 1.
Pro účely této směrnice by měl mít souhlas uživatele nebo účastníka, bez ohledu na to, zda účastník je fyzická či právnická osoba, stejný význam jako souhlas subjektu údajů definovaný a dále upřesněný ve směrnici 95/46/ES. Souhlas může být udělen jakýmkoli vhodným způsobem, který umožňuje vyjádřit svobodně poskytnutý, zvláštní a informovaný projev vůle uživatele, včetně označení zaškrtnutím políčka při návštěvě webové stránky na internetu.

Odstavec 2.
Poskytovatelé služeb by měli přijmout odpovídající opatření, aby zajistili bezpečnost svých služeb, v případě nutnosti i společně s provozovatelem sítě, a informovali účastníky o jakémkoli zvláštním riziku narušení bezpečnosti sítě. Taková rizika se mohou objevit zejména u služeb elektronických komunikací v otevřené síti, jako je např. internet nebo analogové mobilní telefonní služby. Pro účastníky a uživatele takových služeb je zvláště důležité, aby je jejich poskytovatel služeb plně informoval o stávajících bezpečnostních rizicích, kde náprava je mimo možnosti poskytovatele služeb. Poskytovatelé služeb, kteří nabízejí veřejně dostupné služby elektronických komunikací prostřednictvím internetu, by měli své uživatele a účastníky informovat o opatřeních, která mohou přijmout, aby zajistili bezpečnost jejich sdělení, např. použitím zvláštního druhu softwaru nebo šifrovací techniky. Požadavek informovat účastníky o zvláštním bezpečnostním riziku nezbavuje poskytovatele služeb povinnosti přijmout na své vlastní náklady přiměřená a okamžitá opatření k odstranění jakéhokoli nového nepředvídaného bezpečnostního rizika a obnovit běžnou bezpečnostní úroveň služby. Informace o bezpečnostním riziku by měly být účastníkovi poskytovány zdarma, s výjimkou nominálních nákladů, které by mohl účastník nést při přijímání nebo shromažďování informací, např. při stahování elektronické pošty. Bezpečnost se hodnotí s ohledem na článek 17 (odstavec 1 – poznámka autora) směrnice 95/46/ES.

Odstavec 3.
Zákaz uchovávat sdělení a s nimi spojené provozní údaje jinými osobami než samotnými uživateli nebo bez jejich souhlasu neznamená zákaz jakéhokoli automatického, zprostředkovaného a přechodného uchovávání takových informací, pokud k němu dochází výlučně z důvodu provedení přenosu v síti elektronických komunikací a za předpokladu, že informace nejsou uchovávány po dobu delší než nezbytně nutnou pro účely přenosu a řízení provozu, a že po dobu tohoto uchovávání zůstane zajištěna důvěrnost. Je-li to nezbytné pro zefektivnění dalšího přenosu jakýchkoli veřejně dostupných informací jiným příjemcům služby na základě jejich žádosti, neměla by tato směrnice bránit dalšímu uchovávání takových informací za předpokladu, že tyto informace budou kdykoli bez omezení dostupné veřejnosti a že jakékoli údaje o jednotlivých účastnících či uživatelích, kteří tyto informace požadují, budou vymazány.

Podmínky používání špionážního softwaru a ukládání cookies souborů

Odstavec 1.
Koncové zařízení uživatelů sítí elektronických komunikací a jakékoli informace uchovávané na takovém zařízení tvoří součást soukromí uživatelů, které vyžaduje ochranu v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod. Tzv. špionážní software (“spyware”), webové štěnice (“web bugs”), skryté identifikátory a jiné podobné nástroje mohou pronikat do koncového zařízení uživatele bez jeho vědomí s cílem získat přístup k informacím, uchovávat skryté informace nebo sledovat činnost uživatele a mohou vážně narušit soukromí těchto uživatelů. Použití takových nástrojů by mělo být povoleno pouze k oprávněným účelům s vědomím uživatelů, kterých se dotýká.

Odstavec 2.
Takové nástroje, jako např. tzv. “cookies”, mohou však být oprávněným a užitečným nástrojem např. při zkoumání účinnosti designu a reklamy na webové stránce a při ověřování totožnosti uživatelů zúčastněných na on-line transakcích. Pokud jsou takové nástroje, jako například “cookies”, určeny pro oprávněný účel, jako je usnadnit poskytování služeb informační společnosti, jejich použití je povoleno pod podmínkou, že uživatelé jsou jasně a přesně informováni v souladu s ustanovením směrnice 95/46/ES o účelu “cookies” či podobných nástrojů a je zajištěno, aby uživatelům byly známy informace, které se ukládají do koncového zařízení, jež používají. Uživatelé musí mít možnost odmítnout, aby “cookies” nebo podobné nástroje byly ukládány do jejich koncových zařízení. Toto je obzvláště důležité v případě, kdy uživatelé odlišní od původního uživatele mají přístup ke koncovému zařízení, a tudíž i k veškerým údajům uchovávaným v takovém zařízení, které obsahují i citlivé informace o soukromí. Informace a právo odmítnout musí být poskytnuty jednorázově pro použití různých nástrojů, které mohou být instalovány do koncového zařízení uživatele v průběhu téhož připojení, jakož i pro další použití těchto nástrojů v průběhu následných připojení. Metody podávání informací, nabízení práva odmítnout nebo vyžadování souhlasu je nutno provádět způsobem co možná nejvíce vstřícným vůči uživateli. I přesto lze přístup k obsahu určitých webových stránek podmínit plně informovaným přijetím “cookie” nebo podobného nástroje, je-li tento nástroj používán k oprávněným účelům.

Odstavec 3.
Údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu. Jakékoli další zpracování takových údajů, které by poskytovatel veřejně dostupných služeb elektronických komunikací chtěl provádět pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou, je přípustné pouze za předpokladu, že účastník s tímto souhlasil na základě přesných a úplných informací o druhu následného zamýšleného zpracování, které obdržel od poskytovatele veřejně dostupných služeb elektronických komunikací, spolu s informací o právu účastníka nedat takový souhlas nebo svůj souhlas k takovému zpracování vzít zpět. Provozní údaje používané pro marketing komunikačních služeb nebo pro poskytování služeb s přidanou hodnotou by měly být po poskytnutí služby vymazány nebo anonymizovány. Poskytovatelé služeb by měli účastníky vždy informovat o druhu zpracovávaných údajů, účelech a délce trvání takového zpracování.

Právo uživatele na vymazání provozních údajů
Právo provozovatele na zpracovávání provozních údajů

Odstavec 1.
Povinnost vymazat provozní údaje nebo takové údaje anonymizovat, jakmile již nejsou potřebné pro přenos sdělení, není v rozporu s takovými postupy na internetu, jako je ukládání IP adres do vyrovnávací paměti v systému doménových jmen nebo ukládání do vyrovnávací paměti IP adresy, která je přiřazena adrese fyzické nebo při použití přihlašovacích údajů uživatele získaných za účelem kontroly oprávnění přístupu do sítí nebo k službám.

Odstavec 2.
Poskytovatel služeb může zpracovávat provozní údaje o účastnících a uživatelích, pokud je to nutné v jednotlivých případech, aby zjistil technická selhání nebo chyby při přenosu sdělení. Poskytovatel může také zpracovávat provozní údaje nezbytné pro účely účtování, potřebuje-li zjistit a zabránit podvodu spočívajícím v neuhrazeném používání služby elektronických komunikací.

Informační povinnost provozovatele při předávání
provozních údajů třetím stranám

Odstavec 1.
Pokud poskytovatel služby elektronických komunikací nebo služby s přidanou hodnotou zadává zpracování osobních údajů nezbytných pro poskytování dané služby dalšímu subjektu, musí zadání i následné zpracování údajů plně vyhovovat požadavkům kladeným na správce a na zpracovatele osobních údajů, jak jsou stanoveny ve směrnici 95/46/ES. Pokud poskytování služby s přidanou hodnotou vyžaduje, aby poskytovatel služby elektronických komunikací předával provozní údaje nebo lokalizační údaje poskytovateli služby s přidanou hodnotou, účastníci nebo uživatelé, jejichž údajů se toto týká, musí být plně informováni rovněž o tomto předávání ještě předtím, než udělí souhlas ke zpracování údajů.

Povinnost provozovatele serveru, zajistit bezpečí svých uživatelů

Odstavec 1.
Poskytovatel veřejně dostupných služeb elektronických komunikací musí přijmout vhodná technická a organizační opatření, aby zajistil bezpečnost svých služeb, v případě nutnosti i v součinnosti s provozovatelem veřejné komunikační sítě, s ohledem na bezpečnost sítě. Se zřetelem na technickou a nákladovou stránku jejich provádění je třeba, aby tato opatření zajišťovala úroveň bezpečnosti odpovídající stávajícímu riziku.

Odstavec 2.
Existuje-li zvláštní riziko, že bude narušena bezpečnost sítě, musí poskytovatel veřejně dostupných služeb elektronických komunikací informovat účastníky o takovém riziku a pokud toto riziko přesahuje rozsah opatření, která má přijmout poskytovatel služeb, musí účastníky informovat o veškerých možných opatřeních k nápravě, včetně stanovení pravděpodobných souvisejících nákladů.

Práva a povinnosti provozovatele na využívání provozních údajů uživatele

Odstavec 1.
Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací, musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1.

Článek 15, odstavec 1. – Povinnost provozovatele serveru spolupráce s bezpečnostními složkami České republiky v zájmu národní bezpečnosti

Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému. Členské státy mohou mimo jiné přijmout právní opatření umožňující zadržení údajů na omezenou dobu na základě důvodů uvedených v tomto odstavci.

Odstavec 2.
Je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.

Odstavec 3.
Pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou může poskytovatel veřejně dostupných služeb elektronických komunikací zpracovávat údaje uvedené v odstavci 1 pouze v nezbytném rozsahu a po dobu pro tyto služby nebo marketing nezbytnou, pokud k tomu dal svůj souhlas účastník nebo uživatel, jehož se údaje týkají. Účastníci či uživatelé musí mít možnost kdykoliv svůj souhlas se zpracováním provozních údajů vzít zpět.

Odstavec 4.
Poskytovatel služby musí informovat účastníka nebo uživatele o tom, jaké druhy provozních údajů a po jakou dobu budou zpracovávány pro účely uvedené v odstavci 2; při zpracování prováděném pro účely uvedené v odstavci 3 musí být tato informace poskytnuta ještě před získáním souhlasu.

Odstavec 5.
Zpracování provozních údajů podle odstavců 1, 2, 3 a 4 musí být omezeno na osoby, které jednají z pověření provozovatelů veřejných komunikačních sítí a poskytovatelů veřejně dostupných služeb elektronických komunikací, a které se zabývají účtováním nebo řízením provozu, požadavky zákazníků, odhalováním podvodů, marketingem služeb elektronických komunikací nebo poskytováním služeb s přidanou hodnotou, a musí být omezeno na rozsah, který je nezbytný pro účely těchto činností.

Povinnost provozovatele serveru informovat uživatele o používání lokalizačních zařízení a sběru lokalizačních údajů

Odstavec 1.
Mohou-li být zpracovávány lokalizační údaje odlišné od provozních údajů, které se vztahují k uživatelům nebo účastníkům veřejných komunikačních sítí nebo veřejně dostupných služeb elektronických komunikací, je možné tyto údaje zpracovávat pouze poté, co byly anonymizovány údaje, anebo se souhlasem uživatelů nebo účastníků v nezbytném rozsahu a po nezbytnou dobu pro poskytování služeb s přidanou hodnotou. Poskytovatel služeb musí informovat uživatele nebo účastníky před obdržením jejich souhlasu o druhu lokalizačních údajů odlišných od provozních údajů, které budou zpracovávány, o účelu a délce doby zpracování a o tom, zda budou údaje předány třetí osobě za účelem poskytování služeb s přidanou hodnotou. Uživatelé nebo účastníci musí mít možnost kdykoliv vzít zpět svůj souhlas se zpracováním lokalizačních údajů odlišných od provozních údajů.

Odstavec 2.
Pokud byl získán souhlas uživatelů či účastníků se zpracováním lokalizačních údajů odlišných od provozních údajů, musí mít i nadále možnost jednoduchým způsobem a zdarma dočasně odmítnout zpracování těchto údajů pro každé připojení k síti nebo pro každý přenos sdělení.

Odstavec 3.
V souladu s odstavci 1 a 2 musí být zpracování lokalizačních údajů odlišných od provozních údajů omezeno na osoby, které jednají z pověření provozovatele veřejných komunikačních sítí nebo poskytovatele veřejně dostupných služeb elektronických komunikací nebo třetích osob, které poskytují služby s přidanou hodnotou, a musí být omezeno na to, co je nezbytné pro poskytování služeb s přidanou hodnotou.

Kompletní znění směrnice o ochraně a zpracování osobních údajů naleznete ZDE

Bloumatel.com - GDPR PDF