Správcem je každý subjekt, nerozhoduje jaké právní formy, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Správcem může být fyzická osoba nebo právnická osoba, kde je správcem daná právnická osoba a nikoli její některý zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková.
Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele. Zpracovatelem je pak každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje. Není povinností správce najmout si zpracovatele. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají. Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště apod.). Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
Povinnosti správce jsou:
stanovit účel, k němuž mají být osobní údaje zpracovány,
stanovit prostředky a způsob zpracování osobních údajů,
zpracovat pouze přesné osobní údaje, které získal v souladu se zákonem
– je-li to nezbytné, osobní údaje aktualizuje, zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje
– nepřesné osobní údaje se musí označit
– informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům,
shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,
uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování
– po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví
– při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu, a osobní údaje anonymizovat, jakmile je to možné,
zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny
– zpracovávat k jinému účelu lze osobní údaje jen v mezích stanovených zákonem, nebo pokud k tomu dal subjekt údajů předem souhlas,
shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti,
nesdružovat osobní údaje, které byly získány k rozdílným účelům
Správce může zpracovávat osobní údaje pouze se souhlasem fyzické osoby. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Bez tohoto souhlasu je může zpracovávat:
jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce,
jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,
pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů, v tomto případě je třeba bez zbytečného odkladu získat jeho souhlas a pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,
jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem, tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,
pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,
pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,
jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.
Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. Subjekt údajů musí být informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Nesouhlas se zpracováním je nutné vyjádřit písemně.
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů.
Subjekt údajů může taky požádat o informaci o zpracování svých osobních údajů, v tomto případe je správce povinen bez zbytečného odkladu tuto informaci předat subjektu. Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
Správcem je každý subjekt, nerozhoduje jaké právní formy, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Správcem může být fyzická osoba nebo právnická osoba, kde je správcem daná právnická osoba a nikoli její některý zaměstnanec či společník nebo jednatel. Odpovědnost za zpracování osobních údajů má právnická osoba jako taková.
Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele. Zpracovatelem je pak každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje. Není povinností správce najmout si zpracovatele. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen. Je nutné poznamenat, že zpracovatel je zpracovatelem pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů, které zpracovává pro účely, které se jej přímo dotýkají. Typickým zpracovatelem je např. externí mzdová účetní firma (či živnostník) nebo poskytovatel cloudu (úložiště apod.). Stejně jako u správce, ani u zpracovatele není určující jeho právní forma.
Povinnosti správce jsou:
– je-li to nezbytné, osobní údaje aktualizuje, zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje
– nepřesné osobní údaje se musí označit
– informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům,
– po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví
– při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu, a osobní údaje anonymizovat, jakmile je to možné,
– zpracovávat k jinému účelu lze osobní údaje jen v mezích stanovených zákonem, nebo pokud k tomu dal subjekt údajů předem souhlas,
Správce může zpracovávat osobní údaje pouze se souhlasem fyzické osoby. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.
Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.
Bez tohoto souhlasu je může zpracovávat:
Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. Subjekt údajů musí být informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Nesouhlas se zpracováním je nutné vyjádřit písemně.
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů.
Subjekt údajů může taky požádat o informaci o zpracování svých osobních údajů, v tomto případe je správce povinen bez zbytečného odkladu tuto informaci předat subjektu. Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.