Anonymizované údaje

U anonymizovaných údajů nelze ani nepřímo přidělením dalších identifikátorů určit subjekt údajů. Správce údajů například shromažďuje údaje se jménem, příjmením, věkem a nejvyšším dosaženým vzděláním a pro statistické účely zcela vymaže jméno a příjmení, aby nadále zpracovával pouze věk a vzdělání. Zbylé údaje o věku a vzdělání jsou natolik vágní, že nelze určit, koho se týkají, a proto není potřeba je chránit výše uvedenými předpisy.

Biometrické údaje

Osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

Dozorový úřad

Nezávislý orgán veřejné moci zřízený členským státem – pro ČR to je Úřad pro ochranu osobních údajů: https://www.uoou.cz/

Evidence

Jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

Genetické údaje

Osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby

Identifikovatelná fyzická osoba

Fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, rodné číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Kodex chování

Jeho dodržováním je jedním z prvků, jimiž správce prokáže plnění předepsaných povinností při správě osobních dat. Kodexy chování zpracovávají sdružení nebo subjekty zastupující různé kategorie správců.

Omezení zpracování

označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

Osobní údaje

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě tj. subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,

Podnik

Jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost.

Porušení zabezpečení osobních údajů

Porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Posouzení vlivu na ochranu osobních údajů

Pokud nese zpracovávání osobních údajů vysoké riziko pro práva a svobody fyzických osob je nutné provést posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů se vyžaduje především:

  1. u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky
  2. u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech
  3. u rozsáhlého systematického monitorování veřejně přístupných prostorů

Pověřenec pro ochranu osobních údajů nebo DPO (Data Protection Officer)

Organizace musí ustanovit pověřence pro ochranu osobních údajů, pokud se jedná o:

  1. orgán veřejné moci nebo veřejný subjekt,
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů,

Pracovní skupina 29

Pracovní skupina WP29 byla ustanovena článkem 29. směrnice 95/46/EC. Jde o•nezávislý evropský poradní orgán na ochranu dat a soukromí. Jeho úkoly jsou popsány ve článku 30•směrnice 95/46/EC a článku 15•směrnice 2002/58/. 25.5 2018 se současně s účinností GDPR změní na EPDB – Evropský sbor pro ochranu osobních údajů (.

Profilování

Jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

Profilování není právními předpisy zakázáno, ale musí se odehrávat v předvídaných případech a na základě stanovených pravidel. Profilování je běžné např. ve finančních službách – profilování klienta žádajícího o hypotéku, půjčku nebo úvěr kdy se hodnotí schopnost splácet.

Pseudonymizace

Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
Příklad: Správce údajů shromažďuje údaje se jménem, příjmením, věkem a nejvyšším dosaženým vzděláním. Jméno a příjmení nahradí číselným kódem a zvlášť uchovává soubor se jménem, příjmením a tímto číselným kódem. Kdo má přístup k oběma souborům zároveň, je schopen určit, ke komu se informace o věku a vzdělání vztahují, a proto je tyto údaje potřeba chránit výše uvedenými předpisy. Existence dvou oddělených souborů informací jsou pro pseudonymizaci klíčové.

Příjemce

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují. zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

Relevantní a odůvodněná námitka

Námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení tohoto nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s tímto nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie.

Sbor

Evropský sbor pro ochranu osobních údajů je nejvyšším dozorovým orgánem, zajišťujícím jednotnou aplikaci GDPR v celé EU. Je tvořen vedoucími dozorových úřadů členských států a evropským inspektorem ochrany údajů.

Skupina podniků

Skupina zahrnující řídící podnik a jím řízené podniky.

Služba informační společnosti

Služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535 ze dne 9. září 2015 o postupu při poskytování informací v oblasti technických předpisů a předpisů pro služby informační společnosti.

Souhlas subjektu údajů

Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Správce

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje.

Subjekt údajů

Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož GDPR vylučuje svoji působnost na údaje o zesnulých osobách.

Třetí strana

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Účel zpracování

Jasně stanovený účel, pro který se osobní údaje zpracovávají. Je to vymezený rozsah pro zpracování osobních údajů.

Údaje o zdravotním stavu

Osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

Údaje týkající se rozsudků v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva Unie nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů. Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.

Závazná podniková pravidla

Koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.

Zpracování osobních údajů

Je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Zpracování ve smyslu GDPR nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat za činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, řeší např. zákon č. 89/2012 Sb., občanský zákoník.

Zpracovatel

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Zvláštní kategorie údajů

Je kategorie osobních údajů, které vypovídají o:

  1. rasovém, či etnickém původu,
  2. politických názorech,
  3. náboženském vyznání,
  4. filozofickém přesvědčení,
  5. členství v odborech,
  6. zpracování genetických údajů,
  7. biometrických údajů za účelem jedinečné identifikace fyzické osoby
  8. zdravotním stavu
  9. sexuálním životě nebo sexuální orientaci fyzické osoby.

Legislativa