Nezávazná poptávka

Blog

Zpracování osobních údajů | Oznamovací povinnost | Kdy, proč a jak

17.10.2015

V naší praxi se často setkáváme s tím, že podnikatelé opomíjí povinnost oznamovat zpracování osobních údajů, tedy registrovat se u Úřadu pro ochranu osobních údajů (ÚOOÚ). V tomto článku se proto blíže podíváme na to, v jakých případech je nutné tuto oznamovací povinnost dodržet a jak registrace na ÚOOÚ probíhá.

Co to jsou osobní údaje

Nejprve si vymezíme některé důležité pojmy a začneme tím nejdůležitějším – co jsou osobní údaje.

Pojmem osobní údaj se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů (přičemž je potřeba si uvědomit, že subjektem údajů může být pouze fyzická, nikoliv právnická osoba).

Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Osobní údaje jsou takové, které mohou identifikovat konkrétní osobu

Jednoduše řečeno jsou tedy osobními údaji veškeré informace, které identifikují nebo mohou identifikovat konkrétní osobu. Osobními údaji jsou tak zejména jméno a příjmení, fotografie, datum narození, adresa bydliště či telefonní číslo.

Je osobní údaje také e-mail?

Co se týče e-mailové adresy, zde záleží na tom, zda naplňuje výše uvedené znaky osobních údajů obecně, tj. pokud lze pouze na jejím základě identifikovat konkrétní osobu.

Obecně bude osobním údajem každá e-mailová adresa přiřazená zaměstnavatelem zaměstnanci a obsahující příjmení (případně i jméno) a název společnosti.

Některé e-mailové adresy však mohou být sporné, např. david.novak@seznam.cz – zde jde o natolik obecné jméno a obecnou doménu, že identifikace konkrétní osoby není pro běžného příjemce možná. V těchto hraničních případech však doporučujeme posuzovat e-mailovou adresu spíše jako osobní údaj. Mimo jiné z toho důvodu, že Úřad pro ochranu osobních údajů k této problematice dosud nezaujal jednoznačné stanovisko, a je tedy možné, že do budoucna bude aplikovat spíše striktní výklad.

Sporná je i povaha IP adresy, o jejíž právní povaze se aktuálně vedou diskuze. Pokud vás tato problematika zajímá blíže, přečtěte si áš článek Je IP adresa osobním údajem? Postoj Evropské unie a ÚOOÚ.

Na koho se vztahuje oznamovací povinnost?

Povinnost oznamovat zpracování osobních údajů se vztahuje na správce osobních údajů.

Kdo je správcem osobních údajů?

Správcem je každý subjekt (fyzická či právnická osoba), který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Nezáleží přitom, zda se jedná o podnikající, či nepodnikající subjekt – povinnost se vztahuje na oba.

Správcem tedy bude provozovatel e-shopu nebo jiného webu, který osobní údaje shromažďuje a zpracovává.

Co si představit pod pojmy „shromažďuje“ a „zpracovává“?

Shromažďováním osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Příkladem takového shromažďování je i získávání e-mailové adresy a dalších osobních údajů zákazníků (jméno, příjmení, adresa) prostřednictvím přijatých objednávek zboží či služeb.

Zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace osobních údajů.

Když zpracovává osobní údaje 3.osoba

Zpracovávat osobní údaje však nemusí vždy sám správce, ale může tak činit zpracovatel osobních údajů na základě zvláštního zákona (spíše výjimečné) nebo pověřený správcem. Toto pověření je založeno zpracovatelskou smlouvou.

Zpracování osobních údajů a zpracovatelská smlouva

Zpracovatelská smlouva musí být vždy písemná a obsahovat informace o tom, v jakém rozsahu a za jakým účelem se uzavírá, a dále záruky zpracovavatele ve vztahu k zabezpečení ochrany osobních údajů (ve vztahu mezi správcem a zpracovatelem je zejména důležité jasně vymezit odpovědnost za porušení zákona o ochraně osobních údajů a dalších právních předpisů).

Zpracovatelem může být např. mzdový účetní, provozovatel kamerového systému apod.

Povinnost registrace na ÚOOÚ náleží správci nikoli zpracovateli

Důležité však je, že o způsobu zpracování rozhoduje vždy správce, a tedy jemu náleží povinnost registrace u ÚOOÚ, nikoliv zpracovateli. V praxi se totiž často stává, že správce nezákonně požaduje po zpracovateli osvědčení o registraci svého vlastního zpracování.

Kdy je registrace nutná?

Registrace je v praxi e-shopů nutná téměř vždy.

Výjimky z této povinnosti uvádí zákon (č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů) v § 18, z něhož vyplývá, že se oznamovací povinnost vztahuje na všechna zpracování, která jsou prováděná nad rámec činností uložených správci zákonem nebo nezbytných pro uzavření či splnění smlouvy. Podrobněji se těmto výjimkám věnujeme v článku: Výjimky z povinné registrace na ÚOOÚ nejen pro e-shopy.

Využívání osobních údajů například pro zasílání obchodních sdělení (v praxi nejčastější způsob využití) tak již registraci vyžaduje.

Oznámit zpracování osobních údajů je správce povinen ještě před zahájením této činnosti. Zpracování osobních údajů je správce oprávněn zahájit až dnem zápisu do registru nebo po uplynutí zákonné lhůty 30 dnů ode dne, kdy bylo oznámení o tomto zpracování doručeno ÚOOÚ.

Vzhledem k tomu, že registrace u ÚOOÚ je bezplatná, doporučujeme učinit oznámení i v době, kdy prozatím neplánujete zasílání obchodních sdělení či jiné zpracování osobních údajů.

Případné nedodržení oznamovací povinnosti ze strany podnikatele je totiž správním deliktem, za který lze uložit pokutu až 5.000.000,- Kč.

Jak registrace na ÚOOÚ probíhá?

A nyní již k samotnému provedení registrace. Tu lze provést prostřednictvím:

  • registračního formuláře elektronicky na stránkách ÚOOÚ,
  • dále zasláním vyplněného formuláře ve formátu pdf datovou schránkou nebo e-mailem s elektronickým podpisem
  • nebo zasláním vytištěného a ručně vyplněného formuláře poštou,
  • nebo lze oznámení podat i bez použití formuláře.

My se blíže podíváme na provedení registrace elektronicky na stránkách ÚOOÚ, neboť tuto možnost volí většina e-shopů.

Registrace na ÚOOÚ pro e-shopy

Registrační formulář naleznete na webových stránkách www.uoou.cz, v sekci Registr -> Registrační formulář – jak podat oznámení o zpracování osobních údajů. Přímý link najdete zde.

V této sekci je také obecně vysvětlena registrační povinnost a najdete zde i návod, jak vyplnit registrační formulář o 13 bodech (zejména informace o správci, účel(y) a způsob zpracování osobních údajů, kategorie subjektů údajů, zdroje osobních údajů, příjemci, kterým jsou osobní údaje zpřístupněny či sdělovány, předpokládané předání osobních údajů do jiných států, popis opatření k zajištění ochrany osobních údajů).

Vyplněný formulář odešlete a následně obdržíte kód, který potvrzuje, že byla registrace přijata ke zpracování. Ve lhůtě několika týdnů (obvykle kolem 2 týdnů) obdržíte Vaše registrační číslo.

Co je registrační číslo

Registrační číslo je počítačem generované číslo, které je přiděleno registrovanému správci osobních údajů a pod kterým je správce evidován v registru zpracování vedeném ÚOOÚ. Tento registr je ze zákona veřejně přístupný, každý si v něm tedy může zjistit informace o zaregistrovaných subjektech, kteří zpracovávají osobní údaje, a to zadáním konkrétního registračního čísla, názvu subjektu nebo jejich identifikačního čísla (IČO).

Závěrem o zpracování osobních údajů a registraci na ÚOOÚ

Pakliže provozujete e-shop a pracujete s osobními údaji zákazníků, oznamovací povinnosti vůči ÚOOÚ se nejspíše nevyhnete. Z naší praxe dochází ke zpracování osobních údajů u většiny českých e-shopů. Nejedná se však jen o povinnost provozovatelů internetových obchodů.

Z výše uvedeného vyplývá, že řada online podnikatelů (např. provozovatelé inzertní portálů, slevových portálů, online soutěží, rezervačních systémů a dalších výdělečných webů) jsou povinni se registrovat na ÚOOÚ. Vzhledem k poměrně snadné a bezplatné registraci na jedné straně a riziku velmi vysoké pokuty na straně druhé doporučujeme tuto povinnost nezanedbat.

Zpracování osobních údajů | Oznamovací povinnost | Kdy, proč a jak
5 (100%) 2 hlasů

Michal Bartoš

Související služby