2. Legislativa
Směrnice 95/46/ES
o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů
Zákon č.101/2000 Sb.,
o ochraně osobních údajů (ZOOU)
3. Nařízení
1. Tímto nařízením se stanoví pravidla týkající se
ochrany fyzických osob v souvislosti se
zpracováváním osobních údajů a pravidla týkající se
volného pohybu osobních údajů.
2. Tímto nařízením se chrání základní práva a svobody
fyzických osob a zejména jejich právo na ochranu
osobních údajů.
3. Volný pohyb osobních údajů v Unii není z důvodu
ochrany fyzických osob v souvislosti se
zpracováváním osobních údajů omezen ani zakázán.
4. Legislativa
Směrnice 2000/31/ES o některých právních aspektech
služeb informační společnosti, zejména
elektronického obchodu, na vnitřním trhu
(směrnice o elektronickém obchodu)
Zákon č.480/2004 Sb.
o některých službách informační společnosti a o změně
některých zákonů (zákon o některých službách
informační společnosti)
5. Legislativa
Směrnice 2002/58/ES
o zpracování osobních údajů a ochraně soukromí v
odvětví elektronických komunikací (Směrnice o
soukromí v elektronických komunikacích)
Zákon č.127/2005 Sb.
Zákon o elektronických komunikacích
6. Internet – definice z Wikipedie
Internet je celosvětový systém navzájem propojených
počítačových sítí („síť sítí“), ve kterých mezi sebou
počítače komunikují pomocí rodiny protokolů TCP/IP.
Společným cílem všech lidí využívajících Internet je
bezproblémová komunikace (výměna dat).
Internet jsou volně propojené počítačové sítě, které
spojují jeho jednotlivé síťové uzly. Uzlem může být
počítač, ale i specializované zařízení (například router).
Každý počítač připojený k Internetu má v rámci rodiny
protokolů TCP/IP svoji IP adresu. Pro snadnější
zapamatování se místo IP adres používají doménová
jména.
7. Definice osobního údaje (USA)
Osobními údaji jsou informace umožňující
identifikaci fyzické osoby
8. Definice osobního údaje
Osobním údajem je jakákoliv informace týkající se
určeného nebo určitelného subjektu údajů.
Subjekt údajů se považuje za určený nebo
určitelný, jestliže lze subjekt údajů přímo či nepřímo
identifikovat zejména na základě čísla, kódu nebo
jednoho či více prvků, specifických pro jeho
fyzickou, fyziologickou, psychickou, ekonomickou, ku
lturní nebo sociální identitu.
subjektem údajů je fyzická osoba, k níž se osobní
údaje vztahují
9. Definice osobního údaje
Osobním údajem jsou veškeré informace o subjektu údajů.
Subjektem údajů je identifikovaná fyzická osoba nebo
fyzická osoba, kterou lze přímo či nepřímo
identifikovat prostředky, o nichž lze důvodně
předpokládat, že je správce nebo jakákoli jiná fyzická
nebo právnická osoba použijí pro identifikaci dané
osoby, zejména s odkazem na identifikační
číslo, lokalizační údaje, elektronický identifikátor nebo s
odkazem na jeden či více zvláštních prvků její
fyzické, fyziologické, genetické, psychické, ekonomické, k
ulturní nebo sociální identity;
10. Zpracováním osobních údajů
je jakákoliv operace nebo soustava operací, které
správce nebo zpracovatel systematicky provádějí s
osobními údaji, a to automatizovaně nebo jinými
prostředky. Zpracováním osobních údajů se rozumí
zejména shromažďování, ukládání na nosiče
informací, zpřístupňování, úprava nebo
pozměňování, vyhledávání, používání, předávání, šíře
ní, zveřejňování, uchovávání, výměna, třídění nebo
kombinování, blokování a likvidace,
11. Případ Lindqvist
1. Úkon uvedení na internetové stránce různých osob a jejich
identifikace jménem nebo jiným způsobem, například
uvedením jejich telefonního čísla nebo informace o jejich
pracovním poměru a zájmech, je zpracováním osobních údajů
zcela nebo částečně automatizovaně ve smyslu čl. 3 odst. 1
směrnice 95/46/ES Evropského parlamentu a Rady ze dne
24. září 1995 o ochraně jednotlivců v souvislosti se
zpracováním osobních údajů a o volném pohybu těchto údajů.
2. Na takovéto zpracování osobních údajů se nevztahuje
žádná z výjimek uvedených v čl. 3 odst. 2 směrnice 95/46.
3. Informace, že jednotlivec utrpěl úraz nohy a je částečně
invalidní, je osobní údaj týkající se zdraví ve smyslu čl. 8
odst. 1 směrnice 95/46.
12. Zpracováním osobních údajů
je každý úkon nebo soubor úkonů s osobními údaji
nebo soubory osobních údajů, které jsou prováděny
pomocí či bez pomoci automatizovaných
postupů, jako je
shromažďování, zaznamenávání, uspořádávání, strukt
urování, uchovávání, přizpůsobování nebo
pozměňování, vyhledávání, nahlížení, užívání, zveřejň
ování přenosem, zveřejňování šířením nebo jejich
zpřístupňování jiným způsobem, třídění nebo
kombinování, vymazání nebo zničení;
13. Správce a zpracovatel
správcem je každý subjekt, který určuje účel a prostředky
zpracování osobních údajů, provádí zpracování a
odpovídá za něj. Zpracováním osobních údajů může
správce zmocnit nebo pověřit zpracovatele, pokud
zvláštní zákon nestanoví jinak,
zpracovatelem je každý subjekt, který na základě
zvláštního zákona nebo pověření správcem zpracovává
osobní údaje podle tohoto zákona,
14. Provozovatel
a) provozovatel e-shopu je podle ZOOU správcem
osobních údajů, který především určuje účel a
prostředky zpracování a je za zpracování primárně
odpovědný
b) provozovatel e-shopu má na smluvním základě
zajištěného zpracovatele, který na základě pověření
správce zpracovává osobní údaje podle ZOOU
c) provozovatelé jednotlivých e-shopů jsou zpracovateli
osobních údajů, správcem je jiná společnost (např.
mateřská, která zřizuje několik e-shopů)
15. Správce
§ 11 ZOOU
(1) Správce je při shromažďování osobních údajů
povinen subjekt údajů informovat o tom, v jakém rozsahu a
pro jaký účel budou osobní údaje zpracovány, kdo a jakým
způsobem bude osobní údaje zpracovávat a komu mohou
být osobní údaje zpřístupněny, nejsou-li subjektu údajů
tyto informace již známy. Správce musí subjekt údajů
informovat o jeho právu přístupu k osobním údajům, právu
na opravu osobních údajů, jakož i o dalších právech
stanovených v § 21.
16. Správce
§ 11 ZOOU
(2) V případě, kdy správce zpracovává osobní údaje
získané od subjektu údajů, musí subjekt údajů poučit o
tom, zda je poskytnutí osobního údaje povinné či
dobrovolné. Je-li subjekt údajů povinen podle zvláštního
zákona osobní údaje pro zpracování poskytnout, poučí jej
správce o této skutečnosti, jakož i o následcích odmítnutí
poskytnutí osobních údajů.
17. Osobní údaje v e-shopu
Údaje potřebné k realizaci dodávky
Jméno, adresa
Údaje potřebné k účetnictví
Číslo účtu, …
Údaje které vytvářejí profil klienta
Druh zboží, cena, oblast zájmu
18. Oznamovací povinnost
Charakteristické znaky zpracování:
účely zpracování – tvorba databáze
zákazníků, marketingové účely (mohou být i účely
zasílání obchodních sdělení nebo nabízení obchodu a
služeb, ale podmínkou je například širší rozsah
nezbytně zpracovaných údajů),
doba uchování nad rámec smluvních vztahů,
informovanost subjektu údajů v souladu § 5 odst. 4, §
12 a § 21 ZOOU a získání souhlasu subjektu údajů se
zpracováním osobních údajů § 4 písm. n .
19. Obchodní sdělení
obchodním sdělením všechny formy sdělení určeného
k přímé či nepřímé podpoře zboží či služeb nebo
image podniku fyzické či právnické osoby, která
vykonává regulovanou činnost 2) nebo je
podnikatelem 3) vykonávajícím činnost, která není
regulovanou činností;
za obchodní sdělení se považuje také reklama podle
zvláštního právního předpisu (zákon o reklamě).
20. Obchodní sdělení
Za obchodní sdělení se nepovažují údaje umožňující
přímý přístup k informacím o činnosti fyzické či
právnické osoby nebo podniku, zejména doménové
jméno nebo adresa elektronické pošty; za obchodní
sdělení se dále nepovažují údaje týkající se
zboží, služeb nebo image fyzické či právnické osoby
nebo podniku, získané uživatelem nezávisle,
21. Obchodní sdělení
§ 7
(1) Obchodní sdělení lze šířit elektronickými
prostředky jen za podmínek stanovených tímto
zákonem.
(2) Podrobnosti elektronického kontaktu lze za
účelem šíření obchodních sdělení elektronickými
prostředky využít pouze ve vztahu k uživatelům, kteří
k tomu dali předchozí souhlas.
22. Obchodní sdělení
§ 7
(3) Nehledě na odstavec 2, pokud fyzická nebo právnická
osoba získá od svého zákazníka podrobnosti jeho elektronického
kontaktu pro elektronickou poštu v souvislosti s prodejem
výrobku nebo služby podle požadavků ochrany osobních údajů
upravených zvláštním právním předpisem 5), může tato fyzická
či právnická osoba využít tyto podrobnosti elektronického
kontaktu pro potřeby šíření obchodních sdělení týkajících se
jejích vlastních obdobných výrobků nebo služeb za
předpokladu, že zákazník má jasnou a zřetelnou možnost
jednoduchým způsobem, zdarma nebo na účet této fyzické nebo
právnické osoby odmítnout souhlas s takovýmto využitím svého
elektronického kontaktu i při zasílání každé jednotlivé
zprávy, pokud původně toto využití neodmítl.
23. Obchodní sdělení
§ 7
(4) Zaslání elektronické pošty za účelem šíření obchodního
sdělení je zakázáno, pokud
a) tato není zřetelně a jasně označena jako obchodní sdělení,
b) skrývá nebo utajuje totožnost odesílatele, jehož jménem se
komunikace uskutečňuje, nebo
c) je zaslána bez platné adresy, na kterou by mohl adresát přímo
a účinně zaslat informaci o tom, že si nepřeje, aby mu byly
obchodní informace odesílatelem nadále zasílány.
24. Robinsoni
Směrnice o el. obchodu:
členské státy přijmou opatření, aby zaručily, že
poskytovatelé služeb, kteří zasílají nevyžádaná obchodní
sdělení elektronickou poštou, budou pravidelně nahlížet
do seznamů, do nichž se mohou zapisovat fyzické
osoby, které si nepřejí, aby jim byly takové informace
zasílány, a že je budou respektovat.
25. Směrnice o soukromí v
elektronických komunikacích
(17) pro účely této směrnice by měl mít souhlas
uživatele nebo účastníka, bez ohledu na to, zda
účastník je fyzická či právnická osoba, stejný význam
jako souhlas subjektu údajů definovaný a dále
upřesněný ve směrnici 95/46/ES. Souhlas může být
udělen jakýmkoli vhodným způsobem, který
umožňuje vyjádřit svobodně poskytnutý, zvláštní a
informovaný projev vůle uživatele, včetně označení
zaškrtnutím políčka při návštěvě webové stránky
na internetu;
26. Odpovědnost
zákon č.480/2004 Sb.
Odpovědnost poskytovatele služby za obsah
přenášených informací 3
Odpovědnost poskytovatele služby za obsah automaticky
dočasně meziukládaných informací 4
Odpovědnost poskytovatele služby za ukládání obsahu
informací poskytovaných uživatelem 5
27. Odpovědnost §3
Poskytovatel služby, jež spočívá v přenosu informací
poskytnutých uživatelem prostřednictvím sítí
elektronických komunikací nebo ve zprostředkování
přístupu k sítím elektronických komunikací za účelem
přenosu informací, odpovídá za obsah přenášených
informací, jen pokud
přenos sám iniciuje,
zvolí uživatele přenášené informace, nebo
zvolí nebo změní obsah přenášené informace.
Přenos informací a zprostředkování přístupu podle
odstavce 1 zahrnuje také automatické krátkodobě
dočasné ukládání přenášených informací.
28. Odpovědnost §4
Poskytovatel služby, jež spočívá v přenosu informací
poskytnutých uživatelem, odpovídá za obsah informací
automaticky dočasně meziukládaných, jen pokud
změní obsah informace,
nevyhoví podmínkám přístupu k informaci,
nedodržuje pravidla o aktualizaci informace, která jsou obecně
uznávána a používána v příslušném odvětví,
překročí povolené používání technologie obecně uznávané a
používané v příslušném odvětví s cílem získat údaje o užívání
informace, nebo
ihned nepřijme opatření vedoucí k odstranění jím uložené informace
nebo ke znemožnění přístupu k ní, jakmile zjistí, že informace byla
na výchozím místě přenosu ze sítě odstraněna nebo k ní byl
znemožněn přístup nebo soud nařídil stažení či znemožnění přístupu
k této informaci.
29. Odpovědnost §5
(1) Poskytovatel služby, jež spočívá v ukládání informací poskytnutých
uživatelem, odpovídá za obsah informací uložených na žádost
uživatele, jen
mohl-li vzhledem k předmětu své činnosti a okolnostem a povaze
případu vědět, že obsah ukládaných informací nebo jednání uživatele
jsou protiprávní, nebo
dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných
informací nebo o protiprávním jednání uživatele a neprodleně
neučinil veškeré kroky, které lze po něm požadovat, k odstranění
nebo znepřístupnění takovýchto informací.
(2) Poskytovatel služby uvedený v odstavci 1 odpovídá vždy za obsah
uložených informací v případě, že vykonává přímo nebo nepřímo
rozhodující vliv na činnost uživatele.
30. Odpovědnost §6
Poskytovatelé služeb uvedení v 3 až 5 nejsou povinni
dohlížet na obsah jimi přenášených nebo ukládaných
informací,
aktivně vyhledávat skutečnosti a okolnosti poukazující
na protiprávní obsah informace.
31. Zabezpečení údajů - §13 ZOOU
Správce a zpracovatel jsou povinni přijmout taková
opatření, aby nemohlo dojít k neoprávněnému nebo
nahodilému přístupu k osobním údajům, k jejich
změně, zničení či ztrátě, neoprávněným přenosům, k
jejich jinému neoprávněnému zpracování, jakož i k
jinému zneužití osobních údajů. Tato povinnost platí i
po ukončení zpracování osobních údajů.
32. Bezpečnost zpracovávání
Článek 30
1. S ohledem na stav techniky a náklady provedení
přijmou správce a zpracovatel vhodná technická a
organizační opatření, aby zajistili úroveň
bezpečnosti, která bude odpovídat rizikům vyplývajícím ze
zpracování a z povahy osobních údajů, jež mají být
chráněny.
2. Správce a zpracovatel přijmou po vyhodnocení rizik
opatření podle odstavce 1, aby ochránili osobní údaje před
náhodným či nepovoleným zničením nebo před náhodnou
ztrátou a aby předešli jakýmkoli nepovoleným formám
zpracování, zejména nedovolenému sdělování či šíření
osobních údajů, přístupu k nim nebo jejich pozměnění.
33. Ohlašování případů narušení
bezpečnosti osobních údajů
orgánu dozoru
Článek 31
1. Dojde-li k narušení bezpečnosti osobních
údajů, správce jej ohlásí orgánu dozoru, a to bez
zbytečného odkladu, a je-li to možné, nejpozději do 24
hodin od chvíle, kdy toto narušení zjistil. Pokud není
případ ohlášen orgánu dozoru do 24 hodin, k ohlášení
je třeba připojit odůvodnění.
34. Elektronické komunikace
§88 v případě porušení ochrany osobních údajů
fyzické osoby je povinen podnikatel poskytující
veřejně dostupnou službu elektronických komunikací
oznámit bez zbytečného odkladu tuto skutečnost
Úřadu pro ochranu osobních údajů. Toto oznámení
obsahuje popis důsledků porušení ochrany a technická
ochranná opatření, která podnikatel přijal, nebo
navrhuje přijmout.
35. Jmenování inspektora ochrany
údajů
Článek 35
1. Správce a zpracovatel jmenují inspektora ochrany
údajů v každém případě, kdy:
a) zpracování provádí orgán veřejné moci či
veřejnoprávní subjekt nebo
b) zpracování provádí podnik zaměstnávající 250 či více
osob nebo
c) hlavní činnost správce nebo zpracovatele spočívá ve
zpracovávání údajů, která kvůli své povaze, rozsahu a/nebo
účelu vyžadují pravidelné a systematické sledování
subjektů údajů.
36. Kontrolující jsou povinni
prokázat se kontrolovanému průkazem, jehož vzor upraví
nařízení vlády,
oznámit kontrolovanému zahájení kontroly,
šetřit práva a právem chráněné zájmy kontrolovaných,
předat neprodleně převzaté doklady, jakož i kopie
paměťových médií kontrolovanému, pominou-li důvody
jejich převzetí,
řádně ochraňovat zajištěné doklady proti jejich
ztrátě, zničení, poškození nebo zneužití,
pořizovat o výsledcích kontroly kontrolní protokol
37. Kontrolující jsou povinni
povinností kontrolujících je seznámit kontrolované s
obsahem kontrolního protokolu a předat jim jeho
stejnopis. Seznámení s kontrolním protokolem a jeho
převzetí potvrzují kontrolovaní podpisem kontrolního
protokolu. Odmítne-li kontrolovaný seznámit se s
kontrolním protokolem nebo toto seznámení
potvrdit, vyznačí se tyto skutečnosti v kontrolním
protokolu.
39. Inzertní portál
Inzertní aplikace jsou provozovány za účelem zveřejnění
údajů, které někdy přímo, většinou však nepřímo
identifikují či umožňují identifikaci osob nabízejících či
poptávajících nějaké zboží či službu.
Účel a prostředky jsou, jak z uvedeného
vyplývá, stanoveny provozovatelem této aplikace.
Provozovatel nemá možnost aktivně prověřovat
správnost všech vkládaných údajů, měl by však
samostatně odstranit ty údaje, které zjevně porušují
právní předpisy a na základě upozornění také ostatní
(zejména pokud půjde o nepřesné či nepravdivé údaje).
40. Inzertní portál
Když subjekt údajů zjistí, že některý z inzerátů mu působí
újmu tím, že uvádí jeho osobní údaje bez jeho souhlasu či, že
jsou v inzerátu uvedeny údaje nepřesné, může na
provozovateli portálu, v souladu s 21 ZOOU, požadovat
odstranění či opravení zveřejněné informace. Provozovatelé
inzertních portálů by měli, v souladu se svým postavením
správců osobních údajů, doplnit své obchodní podmínky o tyto
informace a zavést opatření umožňující se jednoduchým
způsobem domoci příslušných úprav. Informace o zpracování
osobních údajů by měla být uvedena na portálu v přehledné
formě.
Subjekt údajů, který se bude domáhat nápravy dle 21
ZOOU, bude však muset prokázat, že je skutečně tou
osobou, které je zveřejněnou informací dotčena.