V této části webu budou umístěny často kladené dotazy (a odpovědi), se kterými se v praxi běžně setkáváte. Jednotlivé otázky se budeme dále v anonymizované podobě snažit konzultovat s představiteli dozorového orgánu a minimalizovat tak případné riziko rozdílného výkladu.
Poznámka: Případné níže uvedené odpovědi jsou pouze názorem spolku/citovaných osob a pro výkladovou praxi  nemají žádný závazný právní charakter. Spolek nenese odpovědnost za jejich nesprávnost. Nelze se na jejich základě ani domáhat vydání nebo změny rozhodnutí správního orgánu.
Vaše případné dotazy a náměty pro doplnění seznamu otázek a odpovědí zasílejte na adresu spolek@ochranaudaju.cz
———————————————————————————————————————————————————————————–

Týká se GDPR též samostatné působnosti obcí nebo jen výkonu státní správy v přenesené působnosti

Pravidla ochrany osobních údajů se dotýkají kteréhokoli subjektu, který zpracovává osobní údaje způsoby, na něž se vztahuje obecné nařízení o ochraně osobních údajů. Obecné nařízení nerozlišuje podle toho, zda je zpracování prováděno v samostatné nebo přenesené působnosti, ale zda jsou zpracovávány osobní údaje ve smyslu definic obecného nařízení. V případě územních samosprávných celků je tudíž nutné dodržovat GDPR jak při výkonu samostatné tak přenesené působnosti.

Zdroj: MV ČR

 

Co znamená pojem „hlavní činnosti“ v čl. 37 odst. 1 písm. b) a c) GDPR?

„Hlavní činnosti“ mohou být považovány za klíčové operace pro dosažení cílů správce nebo zpracovatele. Zahrnují rovněž veškeré činnosti, kde zpracování údajů tvoří neoddělitelnou část činnosti správce nebo zpracovatele. Například zpracování údajů o zdravotním stavu, jako například zdravotních záznamů pacientů, by mělo být považováno za jednu z hlavních činností jakékoli nemocnice, a nemocnice proto musejí jmenovat pověřence pro ochranu osobních údajů.

Na druhou stranu veškeré organizace vykonávají určité podpůrné činnosti, například vyplácení svých zaměstnanců nebo standardní činnosti v oblasti podpory informačních technologií. Toto jsou nezbytné podpůrné funkce pro hlavní činnost organizace nebo hlavní podnikatelskou činnost. Přestože jsou tyto činnosti nezbytné nebo zásadní, obvykle jsou považovány za pomocné funkce spíše než za hlavní činnost.

 

Zdroj: Vodítko WP243, překlad: ÚOOÚ

 

 

Může být ředitel IT oddělení pověřencem pro ochranu osobních údajů?

Ne. Obecně platí, že pozice v rámci organizace, které by mohly vést ke střetu zájmů, mohou zahrnovat pozice vedoucího pracovníka, ale také další úlohy nacházející se v organizační struktuře níže, vedou-li tyto pozice a úlohy k určování účelů a prostředků zpracování.

 

Vodítka WP243 výslovně zmiňují ředitele IT jako příklad osoby ve střetu zájmu. Stejně rozhodl v roce 2016 v Německu bavorský dozorový úřad ohledně pozice „IT manažera“

 

 

Co je to „veřejně přístupný prostor“ definovaný v čl. 35 odst. odst. 3 písm. c) GDPR? Je to pouze místo, kde může v určitém okamžiku vstoupit neomezený počet osob, nebo jsou to i učebny ve školách a zkušebny v budovách orgánů veřejné správy?

Co se týče výkladu pojmu „veřejně přístupný prostor“ ve vztahu k článku 35 odst. 3 písm. c) Obecného nařízení, lze odkázat na vodítka pracovní skupiny WP29 k posouzení vlivu na ochranu osobních údajů, ve kterých je na straně 9 v poznámce pod čarou čl. 15 k tomuto pojmu uvedeno:
The WP29 interprets “publicly accessible area” as being any place open to any member of the public, for example a piazza, a shopping centre, a street, a market place, a train station or a public library.

Lze se tak přiklonit k názoru, že to budou jiné prostory než učebny či školy, ty zpravidla nebudou splňovat definici pojmu veřejně přístupný prostor. Veřejně přístupným prostorem je typicky např. nákupní obchodní centrum, ulice, vlaková stanice nebo veřejná knihovna.

Zdroj: GDPR Sekce ÚOOÚ

 

Jaké nástroje lze pro DPIA využít a jsou nějaké k dispozici on-line?

 

CNIL PIA https://www.cnil.fr/en/node/23952

STREAM https://www.acuityrm.com/

Eramba http://www.eramba.org/resources/download/

SimpleRisk https://www.simplerisk.com/download https://github.com/simplerisk

GRC Envelop https://www.grcenvelop.com/features/ https://sourceforge.net/projects/envelop/

CRAMS https://sourceforge.net/projects/xpirm/

Riski https://riski.io/ https://github.com/riski-io/grc

GRC-Ontologies https://github.com/daviddoret/GRC-Ontologies

GGRC Core https://github.com/google/ggrc-core

RiskIQ https://www.riskiq.com/ https://community.riskiq.com/

OWASP Risk Rating Management https://www.owasp.org/index.php/OWASP_Risk_Rating_Management https://github.com/mohammadfebrir/owasp-riskrating

OpenSourceRisk http://www.opensourcerisk.org/ https://github.com/OpenSourceRisk

MONARC http://monarc.lu https://github.com/monarc-project

CASES Diagnostic https://github.com/CASES-LU/diagnostic

 

Security Risk Assessment SRA Tool https://www.healthit.gov/providers-professionals/security-risk-assessment

 

 

Kde lze najít informace o úpravě ochrany osobních údajů v jednotlivých státech EU?

Stránky Evropské komise – DG JUSTICE, kde jsou shromážděny veškeré legislativní předpisy a případová rozhodnutí dotýkající se oblasti ochrany osobních údajů, se nachází zde.

 

 

 

Veškeré  informace, vodítka a prováděcí předpisy, včetně kontaktních údajů naleznete také na stránkách jednotlivých národních úřadů pro ochranu osobních údajů:

 

Národní úřady pro ochranu osobních údajů působící v rámci EU

BELGIE Commission de la proteccion de la vie privée Internet: http://www.privacycommission.be

BULHARSKO Commission for Personal Data Protection Internet: http://www.cpdp.bg

ČESKÁ REPUBLIKA Úřad pro ochranu osobních údajů Internet: http://www.uoou.cz

DÁNSKO Datatilsynet Internet: http://www.datatilsynet.dk

ESTONSKO Andmekaitse Inspektsioon (Inspection of Data Protection) Internet: http://www.aki.ee/en

FINSKO Tietosuojavaltuutetun toimisto (Data Protection Ombudsman) Internet: http://www.tietosuoja.fi

FRANCIE Commission Nationale de l´Informatique et des Libertés Internet: http://www.cnil.fr

CHORVATSKO Croatian Personal Data Protection Agency Internet: http://www.azop.hr/

IRSKO Office of the Data Protection Commissioner Internet: http://www.dataprivacy.ie

ITÁLIE Garante per la protezione dei dati personali Internet: http://www.garanteprivacy.it

KYPR Office of the Commissioner for Personal Data Protection Internet: http://www.dataprotection.gov.cy

LITVA Valstybiné Duomenu Apsaugos Inspekcija (State Data Protection Inspectorate) Internet: http://www.ada.lt

LOTYŠSKO Datu valsts inspekcija (Data State Inspection) Internet: http://www.dvi.gov.lv

LUCEMBURSKO Commission nationale pour la Protection des Données Internet: http://www.cnpd.lu

MAĎARSKO Nemzeti Adatvédelmi és Infotmációszabadság Hatóság Internet: http://www.naih.hu/

MALTA Office of the Data Protection Commissioner Internet: http://www.dataprotection.gov.mt

NĚMECKO Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Internet: http://www.bfdi.bund.de

NĚMECKO – ZEMSKÉ ÚŘADY                   Internet: http://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

NIZOZEMSKO Autoriteit Persoonsgegevens Internet: https://autoriteitpersoonsgegevens.nl/

POLSKO Biuro Generalnego Inspektora Ochrony Danych Osobowych Internet: http://www.giodo.gov.pl

PORTUGALSKO A Commissao Nacional de Protecçao de Dados Internet: http://www.cnpd.pt

RAKOUSKO Datenschutzbehörde Internet: http://www.dsb.gv.at

RUMUNSKO Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal Internet: www.dataprotection.ro

ŘECKO Hellenic Data Protection Authority Internet: http://www.dpa.gr

SLOVENSKO Úrad na ochranu osobných údajov Slovenskej republiky Internet: http://www.dataprotection.gov.sk

SLOVINSKO Varstvo osebnih podatkov Internet: http://www.ip-rs.si/index.php

ŠPANĚLSKO Agencia espanola de Protección de Datos Internet: http://www.agpd.es

ŠVÉDSKO Datainspektionen Internet: http://www.datainspektionen.se

VELKÁ BRITÁNIE Information Commissioner’s Office Internet: http://www.ico.org.uk