Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů nám ukládá informovat Vás, občany Hobšovic, Skůr a Křovic o skutečnostech souvisejících se zpracováním Vašich osobních údajů, jejich ochranou a právy fyzických osob, subjektů osobních údajů.
Vaše osobní údaje zpracováváme na základě zákonem stanovené povinnosti.
Jedná se o zpracování v souvislosti s evidencí obyvatelstva, dále o evidence související s místní činností obce, například zajištěním svozu odpadů, řešením likvidace odpadních vod a případně dalšími poskytovanými službami.
S ohledem na zajištění bezpečnosti Vašich osobních údajů jejich užití minimalizujeme na nutný rozsah ve vztahu k účelu jejich použití.
Obecné nařízení Evropského parlamentu Vám, jako subjektům údajů, dává práva, jejichž rozsah se řídí právními důvody zpracování. Jelikož Vaše osobní údaje zpracováváme na základě zákonem stanovených podmínek, máte právo na informace, jaké osobní údaje o Vás zpracováváme, máte právo požadovat opravu Vašich osobních údajů, pokud by byly nepřesné nebo chybné. Ostatní práva jsou omezena zákonem.
Co do doby, po kterou Vaše osobní údaje jsou u nás zpracovávány, pak s ohledem na zákonem uloženou povinnost zůstávají v evidenci po dobu zákonem stanovenou.
Obecné nařízení o ochraně osobních údajů Vám jako subjektům údajů dává právo požadovat po nás informaci o tom, jaká Vaše osobní data zpracováváme a jaký je pro jejich zpracování důvod.
Informace můžete získat jednak na úřadě obce v pracovní době, jednak u Pověřence pro ochranu osobních údajů, kterým je Jan Kaštánek, se sídlem se sídlem Holandská 2437, 272 01 Kladnonebo telefonicky na čísle 603 141 041, email: jan.kastanek@post.cz,v pracovních dnech v době od 9 do 15 hodin.
Jakékoli konkrétní informace můžete dostat pouze o Vaší osobě. Je nutné předem prokázat, že jste skutečně tím, o jehož osobních údajích informace potřebujete.
V České republice je dozorovým orgánem ve věci ochrany osobních údajů fyzických osob Úřad pro ochranu osobních údajů sídlící na adrese Pplk. Sochora 727/27, 170 00 Praha 7- Holešovice ,tel.: 234 665 111, e-mail: posta@uoou.cz
1. Obec přijímá opatření k zabezpečení osobních údajů, a to zejména:
3. Obec vede evidenci klíčů používaných k uzamykání listin s osobními údaji a uzamykání prostor, v nichž se zpracovávají osobní údaje.
4. Obec dbá na řádné plnění povinností podle předpisů upravujících spisovou službu a archivnictví, zejména včas a řádně provádí skartační řízení.
1. Obec zřizuje funkci pověřence pro ochranu osobních údajů (dále jen „pověřenec“). Pověřenec plní povinnosti podle čl. 37 až 39 GDPR v souladu se smlouvou nebo jiným dokumentem upravujícím vzájemná práva a povinnosti obce a pověřence.
2. Obec dále
3. Návrhy záznamů, informací, vyřízení žádostí a ohlášení a oznámení podle odstavce 2 zpracovává pověřenec.
4. Obec poskytuje pověřenci potřebnou součinnost.
Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.
V souladu s tím dále obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.
Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.
Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.
Obecné nařízení, ostatně tak jako i zákon č. 101/2000 Sb., o ochraně osobních údajů, přiznává subjektům údajů práva. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů. Jsou základním pilířem modelu ochrany osobních údajů v evropském prostoru. Nutno podotknout, že obecné nařízení posiluje systém práv subjektů, oproti zákonu o ochraně osobních údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost.
Je nějaká lhůta, do kdy musí správce reagovat na podanou žádost subjektu údajů?
Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
Subjekt údajů má právo na to být informován o zpracování svých osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů, tak aby byla především naplněna zásada transparentnosti zpracování. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, aby požadované informace stanovené v obecném nařízení subjektu údajů poskytl, resp. zpřístupnil.
Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení. Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Právo na informování je ekvivalentem práva na informace o zpracování stanoveném v § 11 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mezi další práva subjektu údajů, která jsou mnohdy založena na aktivitě (žádosti) subjektu údajů, patří:
Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:
Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.
Jde o ekvivalent práva přístupu k osobním údajům, stanoveném v § 12 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.
Právo na výmaz (být zapomenut) představuje v obecném nařízení jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost.
Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývají z jeho podstaty.
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.
Právo na přenositelnost je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.
Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.
K právu na přenositelnost údajů byl ze strany Pracovní skupiny WP29 vydán výkladový materiál dostupný v rubrice Schválené pokyny.
Kdy lze vznést námitku proti zpracování osobních údajů?
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:
Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Do jisté míry jde o ekvivalent práva na vysvětlení dle § 21 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
Jak chápat právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování?
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.
Nelze tak například automatizovaně pokutovat řidiče překračující rychlost, aniž by pokutu nepřezkoumal člověk.
Zákaz automatizovaného individuálního rozhodování je stanoven i v § 11 odst. 6 současného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Mohu si jako správce účtovat náklady v souvislosti s výkonem práv subjektu údajů?
Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.
Co když subjekt údajů zneužívá své právo?
Zneužitím nelze a priori rozumět výkon práv subjektu údajů. O zneužití práva subjektem údajů lze hovořit zejména tehdy, pokud se žádosti opakují a jsou zjevně nedůvodné či nepřiměřené. V takovém případě může správce uložit přiměřený poplatek nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost dokládá správce.
Kontaktní údaje pověřence:
Jméno a příjmení: Jan Kaštánek
E-mail: kastanek@gdprcze.cz
Mobil: (+420) 603 141 041
Kde nás najdete?