Ochrana osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty EU

 

PŘEHLED DOKUMENTU:

Nařízení (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty EU a o volném pohybu těchto údajů

CO JE CÍLEM NAŘÍZENÍ?

Toto nařízení:

• stanovuje pravidla, jak by orgány, instituce a jiné subjekty EU měly nakládat s osobními údaji*, které mají a které se týkají osob,
• respektuje základní práva a svobody osob, zejména právo na ochranu osobních údajů a právo na soukromí,
• uvádí pravidla pro orgány, instituce a jiné subjekty EU do souladu s pravidly stanovenými v obecném nařízení o ochraně osobních údajů a ve směrnici (EU) 2016/680, známé též jako směrnice o prosazování práva, která platí od května 2018,
• zrušuje nařízení (ES) č. 45/2001, které dříve obsahovalo pravidla pro zpracování osobních údajů orgány, institucemi a jinými subjekty EU, a zajišťuje, že tato pravidla jsou v souladu s týmiž přísnými normami, které jsou stanoveny v obecném nařízení o ochraně osobních údajů,
• zrušuje rozhodnutí č. 1247/2002/ES o evropském inspektorovi ochrany údajů (EIOÚ).

KLÍČOVÉ BODY

Osobní údaje musí být:

• zpracovány zákonným, korektním a transparentním způsobem,
• shromažďovány pro určité, výslovně vyjádřené a legitimní účely,
• přiměřené, relevantní a omezené na to, co je nezbytné,
• přesné a v případě potřeby průběžně aktualizované,
• uchovávány ve formě umožňující identifikaci osob po dobu ne delší, než je nezbytné,
• zpracovávány způsobem, který zajistí náležitou důvěrnost.

Správce* odpovídá za dodržení všech výše uvedených zásad zpracování údajů a musí být schopen toto dodržení souladu doložit.

Mimo to osobní údaje:

• mohou být předány jinému příjemci v EU, než jsou orgány, instituce a jiné subjekty EU, pouze pod podmínkou dodatečných záruk,
• mohou být předány mimo EU pouze za přísných podmínek,
• odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborových organizacích a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby, údajů o zdravotním stavu nebo údajů o sexuálním životě či sexuální orientaci fyzické osoby se nesmí zpracovávat s výjimkou zvláštních okolností,
• vyžadují vhodné záruky, pokud jsou archivovány ve veřejném zájmu nebo pro vědecké, historické či statistické účely.

Žádosti o souhlas dané osoby s použitím jejich údajů musejí být srozumitelné a snadno přístupné za použití jasných a jednoduchých jazykových prostředků. Souhlas musí být udělen formou jednoznačného potvrzujícího aktu dané osoby.

Osoby (označované v právním textu za „subjekty údajů“) mají právo:

• kdykoliv souhlas odvolat, což by mělo být stejně snadné jako udělení souhlasu,
• vědět, jestli se jejich osobní údaje zpracovávají, nebo nikoliv, a mít k nim přístup,
• dosáhnout opravy svých nepřesných osobních údajů,
• odstranit veškeré osobní údaje nebo omezit jejich zpracování, pokud budou splněny určité podmínky,
• obdržet své osobní údaje poskytnuté správci ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci,
• vznést námitku proti použití svých osobních údajů pro účely veřejného zájmu z důvodu své konkrétní situace,
• nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, které pro ně má právní důsledky,
• podat stížnost EIOÚ, pokud mají pocit, že jsou jejich údaje zpracovávány způsobem, který je v rozporu s tímto nařízením,
• obdržet náhradu za veškerou hmotnou či nehmotnou újmu, kterou utrpí v důsledku kroků orgánů, institucí a jiných subjektů EU,
• pověřit neziskovou organizaci, aby podala stížnost u EIOÚ.

Správci:

• musejí informovat subjekty údajů za použití jednoduchých jazykových prostředků o faktických informacích, jako jsou kontaktní údaje správce údajů a účel zpracování osobních údajů, a to v okamžiku shromažďování těchto osobních údajů,
• musejí odpovědět na veškeré žádosti od subjektu údajů, například žádosti o přístup k jejich osobním údajům nebo o opravu jejich osobních údajů, jakmile to bude možné a nejpozději do jednoho měsíce,
• přijímají vhodná technická a organizační opatření, jako je pseudonymizace*, k zajištění toho, aby se osobní údaje zpracovávaly v souladu s nařízením,
• musí používat pouze zpracovatele údajů, kteří splňují požadavky EU,
• vedou podrobné záznamy o zpracování údajů, za které odpovídají,
• spolupracují s EIOÚ,
• co nejdříve ohlásí EIOÚ a v některých případech také dotčené osobě veškeré případy porušení zabezpečení osobních údajů,
• provádějí posouzení vlivu na ochranu osobních údajů u některých vysoce rizikových zpracování osobních údajů,
• zajišťují důvěrnost a bezpečnost svých elektronických komunikačních sítí,
• informují EIOÚ o vypracování správních opatření a vnitřních předpisů týkajících se zpracování osobních údajů.

Tímto právním předpisem se zřizuje funkce EIOÚ, na kterou je představitel jmenován na pětileté funkční období, jež je možné jednou prodloužit. Osoba zastávající tento úřad sídlí v Bruselu a:

• jedná zcela nezávisle,
• nakládá se všemi důvěrnými informacemi v souladu se služebním tajemstvím,
• monitoruje, jak tento předpis uplatňují orgány, instituce a jiné subjekty EU,
• zvyšuje povědomí veřejnosti o zpracování osobních údajů a podporuje porozumění těmto otázkám,
• zabývá se stížnostmi a provádí šetření,
• varuje a udílí sankce správcům údajů,
• předkládá věci Soudnímu dvoru, který řeší veškeré spory ohledně tohoto právního předpisu,
• každoročně předkládá zprávu Evropskému parlamentu, Radě a Evropské komisi,
• spolupracuje s vnitrostátními dozorovými úřady dohlížejícími na ochranu údajů.

Jednací řád EIOÚ

Rozhodnutím ze dne 15. května 2020 se přijímá jednací řád EIOÚ. Podrobně stanovuje:

• poslání EIOÚ, hlavní zásady a organizace,
• jak bude probíhat kontrola a zajištění uplatňování nařízení,
• postupy pro legislativní konzultace, monitorování technologií, výzkumné projekty a soudní řízení a
• postupy pro spolupráci s vnitrostátními dozorovými úřady a mezinárodní spolupráci.

Zvláštní pravidla pro orgány, instituce a jiné subjekty EU

Na orgány, instituce a jiné subjekty EU, které zpracovávají operativní osobní údaje* se pro účely prosazování práva (např. Eurojust) vztahují zvláštní pravidla. Týká se jich konkrétní kapitola nařízení. Pravidla uvedená v této kapitole jsou v souladu se směrnicí o prosazování práva. Kromě toho mohou být stanovena konkrétnější pravidla v zakládajících aktech těchto orgánů, institucí a jiných subjektů, aby se zohlednila jejich zvláštní charakteristika.

Zpracování operativních osobních údajů Europolem a Úřadem evropského veřejného žalobce je z oblasti působnosti nařízení vyloučeno a místo toho se řídí zvláštními ustanoveními právních aktů, kterými jsou zřízeny. Na jejich administrativní zpracování osobních údajů (např. pro účely řízení zaměstnanců) se však nařízení vztahuje.

Pověřenec pro ochranu osobních údajů

Správci také jmenují pověřence pro ochranu osobních údajů na tříleté až pětileté funkční období, který:

• poskytuje nezávislé poradenství týkající se zpracování osobních údajů,
• sleduje dodržování pravidel týkajících se ochrany údajů.

Zprávy

Evropská komise musí svou první zprávu o dopadu nařízení předložit do 30. dubna 2022.

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

Je v platnosti ode dne 11. prosince 2018, kromě zpracování osobních údajů ze strany Eurojustu, kde začalo platit od 12. prosince 2019.

KONTEXT

V článku 8 Listiny základních práv se uvádí, že každý má právo na ochranu osobních údajů. Článek 16 Smlouvy o fungování Evropské unie toto právo dále rozpracovává. Tento článek je právním základem pro veškeré právní předpisy EU o ochraně údajů.

Další informace viz:

• Ochrana údajů v EU (Evropská komise).

KLÍČOVÉ POJMY

HLAVNÍ DOKUMENT

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39–98).

SOUVISEJÍCÍ DOKUMENTY

Rozhodnutí Komise (EU) 2020/969 ze dne 3. července 2020, kterým se stanoví prováděcí pravidla týkající se pověřence pro ochranu osobních údajů, omezení práv subjektů údajů a uplatňování nařízení Evropského parlamentu a Rady (EU) 2018/1725 a kterým se zrušuje rozhodnutí Komise 2008/597/ES (Úř. věst. L 213, 6.7.2020, s. 12–22).

Rozhodnutí evropského inspektora ochrany údajů ze dne 15. května 2020, kterým se přijímá jednací řád EIOÚ (Úř. věst. L 204, 26.6.2020, s. 49–59).

Rozhodnutí evropského inspektora ochrany údajů ze dne 2. dubna 2019 o vnitřních předpisech týkajících se omezení určitých práv subjektů údajů v souvislosti se zpracováním osobních údajů v rámci činností prováděných evropským inspektorem ochrany údajů (Úř. věst. L 99I, 10.4.2019, s. 1–7).

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1–88).

Postupné změny nařízení (EU) 2016/679 byly začleněny do původního dokumentu. Toto konsolidované znění má pouze dokumentární hodnotu.

Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89–131).

Viz konsolidované znění.

Poslední aktualizace 14.01.2022