Osobní údaje jsou veškeré informace týkající se identifikované nebo identifikovatelné osoby (tj. subjektu údajů). Pojem „identifikovatelný“ se vztahuje na osoby, které lze přímo nebo nepřímo identifikovat, zejména odkazem na konkrétní identifikátor.
Subjektem údajů jste vy (tj. fyzická osoba, které se osobní údaje týkají). Subjektem údajů se rozumí jakákoli fyzická osoba, kterou lze přímo či nepřímo identifikovat prostřednictvím identifikátoru, jako je jméno, identifikační číslo či lokalizační údaje, nebo prostřednictvím faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu dané osoby.
Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (Health Insurance Portability and Accountability Act, HIPAA) je federální zákon Spojených států amerických, jehož cílem je stanovit standardy ochrany osobních údajů pro ochranu zdravotních záznamů pacientů a dalších zdravotních informací poskytovaných lékařům, zdravotním pojišťovnám, nemocnicím, obchodním partnerům a dalším poskytovatelům zdravotní péče.
Podle HIPAA jsou chráněné zdravotní údaje (PHI) zdravotní údaje v jakékoli formě, včetně fyzických záznamů, elektronických záznamů nebo ústních informací o zdravotním stavu jednotlivce, poskytování zdravotní péče nebo úhradě zdravotní péče, které vytvořil nebo shromáždil subjekt, na nějž se vztahuje, a které lze spojit s konkrétní osobou. Existuje 18 identifikátorů HIPAA, které zdravotní údaje označují jako PHI.
Obecné nařízení o ochraně osobních údajů (GDPR) je právní předpis EU o ochraně osobních údajů a soukromí v Evropské unii a Evropském hospodářském prostoru. GDPR upravuje způsob, jakým společnosti chrání osobní údaje občanů EU.
Zvláštní kategorie osobních údajů podle GDPR zahrnují údaje odhalující rasový a etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech, jakož i genetické údaje, biometrické údaje sloužící k jedinečné identifikaci fyzické osoby, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby./p>
Údaji o zdravotním stavu se rozumí osobní údaje týkající se fyzického nebo duševního zdraví fyzické osoby, včetně poskytování zdravotních služeb, které vypovídají o jejím zdravotním stavu.
Zpracováním se rozumí jakýkoli úkon, který je prováděn s osobními údaji nebo se soubory osobních údajů, a to automatizovaně či nikoli. Příklady zpracování zahrnují shromažďování, zaznamenávání, organizování, strukturování, ukládání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, zpřístupňování přenosem, šíření nebo jiné zpřístupňování, srovnávání nebo kombinování, omezování, vymazávání nebo ničení. Za zpracování se v podstatě považuje vše, co si dokážete představit, že byste kdy chtěli s osobními údaji dělat.
Zpracování osobních údajů je zákonné s informovaným souhlasem jednotlivce nebo pokud je nezbytné, což může zahrnovat plnění smlouvy, dodržování evropského práva, ochranu něčího života, plnění úkolu ve veřejném zájmu nebo úředních funkcí nebo prosazování oprávněných zájmů.
Anonymizací se rozumí anonymizace osobních údajů takovým způsobem, že subjekt údajů již není identifikovatelný. To vyžaduje, aby byly odstraněny všechny identifikátory, které správce nebo jiná osoba použila k přiměřené identifikaci fyzické osoby. Na informace, které jsou skutečně anonymní, se GDPR nevztahuje.
Pseudonymizace znamená zpracování osobních údajů takovým způsobem, že je již nelze spojit s konkrétním subjektem údajů bez použití dalších informací. Dodatečné informace jsou uchovávány odděleně a podléhají technickým a organizačním opatřením, která zajišťují, že osobní údaje nejsou přiřazeny identifikované nebo identifikovatelné fyzické osobě. Informace, u nichž byly odstraněny nebo nahrazeny identifikátory za účelem pseudonymizace údajů, jsou podle GDPR stále osobními údaji.
Profilování je jakákoli forma automatizovaného zpracování osobních údajů vyhodnocující osobní aspekty, zejména za účelem analýzy nebo předvídání aspektů týkajících se vašich osobních preferencí nebo zájmů, spolehlivosti nebo chování, polohy nebo pohybu.
Souhlas je jasný a jednoznačný akt, kterým subjekt údajů svobodně, konkrétně, informovaně a jednoznačně dává najevo, že souhlasí se zpracováním svých osobních údajů.
Pokud zpracování osobních údajů vyžaduje souhlas, musí být získán zvlášť. Poskytnutí oznámení o ochraně osobních údajů nenahrazuje získání souhlasu.
Správcem údajů se rozumí subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Správci vykonávají kontrolu nad účely a prostředky zpracování osobních údajů. Správci musí dodržovat a prokazovat soulad se všemi zásadami ochrany údajů i dalšími požadavky GDPR. Odpovídají také za soulad svého zpracovatele (svých zpracovatelů). Pokud dva nebo více správců společně určují účely a prostředky zpracování stejných osobních údajů, jedná se o společné správce. Nejsou však společnými správci, pokud zpracovávají tytéž údaje pro různé účely.
Zpracovatelé údajů jsou subjekty, které zpracovávají osobní údaje jménem správce údajů. Pokud není určen účel zpracování údajů a jednáte pouze na základě pokynů zákazníka, jste pravděpodobně zpracovatelem, a to i v případě, že o způsobu zpracování údajů rozhodujete technicky. Při zpracování jménem správce musí správce využívat pouze zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR, včetně bezpečnosti zpracování a ochrany práv subjektu údajů.
Zpracovatelé údajů mohou pověřit jiného zpracovatele, známého jako „dílčí zpracovatel“, aby jménem správce prováděl konkrétní činnosti zpracování. V takových případech se na dílčího zpracovatele vztahují stejné povinnosti v oblasti ochrany údajů, které jsou stanoveny ve smlouvě mezi správcem a zpracovatelem (tj. vhodná technická a organizační opatření).
Pokud dílčí zpracovatel neplní své povinnosti v oblasti ochrany údajů, zůstává původní zpracovatel plně odpovědný správci za plnění svých povinností. Zapojení dílčího zpracovatele musí být provedeno na základě předchozího zvláštního nebo obecného písemného povolení správce. V případě obecného písemného pověření informuje zpracovatel správce o všech zamýšlených změnách týkajících se přidání nebo nahrazení dílčích zpracovatelů, čímž správci poskytne možnost vznést proti těmto změnám námitky.
Každý, kdo není subjektem údajů, správcem ani zpracovatelem, se nazývá třetí stranou. Příkladem třetích stran může být úklidová firma najatá na úklid pracoviště nebo firma provádějící údržbu zařízení. I když se při pohybu na pracovišti nebo v zařízení mohou občas setkat s osobními údaji, mohou své úkoly plnit bez přístupu k údajům. Kromě toho je třetím stranám smluvně zakázáno přistupovat k osobním údajům, které společnost uchovává jako správce, nebo je jinak zpracovávat.
Příjemcem údajů je jakýkoli jiný subjekt, kterému můžeme sdělit osobní údaje, bez ohledu na to, zda je třetí stranou.
Smlouva o zpracování údajů (DPA) je právně závazná smlouva, která stanoví práva a povinnosti každé strany týkající se ochrany osobních údajů.
S cílem zavést účinná a použitelná opatření zajišťující bezpečné mezinárodní předávání údajů přijal Evropský sbor pro ochranu osobních údajů (EDPB) 18. června 2021 doporučení týkající se zabezpečení mezinárodního předávání údajů. Tato doporučení vycházejí z rozsudku Soudního dvora Evropské unie „Schrems II“, který správcům předávajícím osobní údaje do zemí mimo EU uložil povinnost přijmout dodatečná opatření k zabezpečení předávání údajů.
Standardní smluvní doložky (SCC) obsahují smluvní povinnosti mezi vývozcem a dovozcem údajů a práva osob, jejichž osobní údaje jsou předávány.
Evropský přístup ke zpracování údajů zahrnuje klíčový koncept „znejte okolnosti svého předání“, který se týká země, kam budou osobní údaje předány ke zpracování. Na základě rozsudku Soudního dvora Evropské unie „Schrems II“ je správce předávající osobní údaje do země mimo EU povinen přijmout dodatečná opatření k zabezpečení předávání údajů.
Pojem „třetí země“ není v GDPR definován, ale pochází z primárních smluv EU a označuje země, které nejsou smluvní stranou těchto smluv. Je to běžný termín v právu EU a obvykle se jím označuje jakákoli země, která není součástí organizace, jež se má řídit tímto právem. Protože GDPR platí jako zákon pro EU a EHP, „třetími zeměmi“ se rozumí země, které nejsou členskými státy EU nebo EHP.
Rozhodnutí Evropské komise o „odpovídající ochraně“ potvrzuje, že jiná země, území nebo odvětví mimo EU poskytuje rovnocennou úroveň ochrany osobních údajů jako EU. Aktualizovaný seznam zemí s rozhodnutími o přiměřenosti naleznete na (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Smlouva o spolupráci s obchodním partnerem (BAA) je písemná dohoda, která specifikuje jednotlivé strany. Povinnosti při nakládání s chráněnými zdravotními údaji (PHI). Mezi dotčeným subjektem a obchodním partnerem musí být písemně uzavřena uspokojivá ujištění. Všechny BAA musí být zkontrolovány a podepsány oddělením pro ochranu osobních údajů.
Ochrana soukromí již od návrhu vyžaduje, aby ochrana soukromí a údajů byla zakotvena v celém životním cyklu projektu, od počátečního stavu návrhu až po nasazení, používání a likvidaci. Mezi hlavní funkce ochrany soukromí již od návrhu patří proaktivní přístup, provádění kontrol ochrany soukromí a prokazování respektu k ochraně subjektu údajů. Jde o to, aby byl tým pro ochranu osobních údajů informován v počátečních fázích projektového záměru, aby bylo možné zvážit kontrolu ochrany osobních údajů.
Podle zákona HIPAA je porušením PHI získání, zpřístupnění, použití nebo zveřejnění nezabezpečených PHI způsobem, který není povolen zákonem HIPAA a který představuje významné riziko finanční, reputační nebo jiné újmy pro jednotlivce. Pravidlo HIPAA o oznamování narušení vyžaduje, aby kryté subjekty a obchodní partneři informovali dotčené osoby, HHS a v některých případech i média o narušení nezabezpečených PHI.
Podle GDPR se porušením zabezpečení osobních údajů rozumí porušení zabezpečení, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k přenášeným, uloženým nebo jinak zpracovávaným osobním údajům.