test 6

Zákonné požadavky na zásady ochrany osobních údajů platí po celém světě, pokud shromažďujete údaje, které lze použít k identifikaci konkrétní osoby. Důvodem je skutečnost, že tyto údaje jsou po celém světě chráněny řadou důležitých zákonů, které v takových případech vyžadují vypracování zásad ochrany osobních údajů.

V tomto článku se podíváme na některé z klíčových globálních zákonů na ochranu osobních údajů, které vyžadují vypracování zásad ochrany osobních údajů.

Co jsou zásady ochrany osobních údajů?

Zásady ochrany osobních údajů jsou místem, kde zveřejňujete své postupy týkající se shromažďování, používání a nakládání s osobními údaji vašich uživatelů. Poskytují informace a zajišťují transparentnost.

Jaký druh osobních údajů je dostatečně osobní na to, aby identifikoval jednotlivce? Do této kategorie spadá mnoho údajů, zde je jen několik příkladů:

• E-mailové adresy
• Jména a příjmení
• Doručovací nebo fakturační adresy. Většina e-shopů bude potřebovat zásady ochrany osobních údajů, protože každá transakce související s nákupem zahrnuje osobní údaje uživatelů.
• Čísla sociálního zabezpečení
• Data narození
• Uživatelská jména a profilové obrázky na sociálních sítích

Anonymní údaje (které neobsahují osobní údaje) lze rovněž klasifikovat jako „osobní identifikační údaje“, pokud jsou použity ve spojení s jiným typem údajů, které mohou vést k identifikaci konkrétní osoby. Například některé typy IP adres jsou podle moderních zákonů o ochraně osobních údajů právně chráněnými osobními údaji.

*Poznámka redakce: Výše uvedené video obsahuje zastaralé informace týkající se právních předpisů EU. Obsah článku byl aktualizován k 16. červenci 2019. Omlouváme se za případné nepříjemnosti.

Zákony na ochranu soukromí, které vyžadují zásady ochrany osobních údajů

Zákony na ochranu osobních údajů existují v zemích po celém světě. Zde je několik z těch, které mají nejširší dosah a největší dopad na podniky po celém světě.

Zásady ochrany osobních údajů vyžadované ve Spojených státech

V USA v době psaní tohoto článku neexistují žádné federální zákony, které by podnikům ukládaly povinnost mít zásady ochrany osobních údajů (s výjimkou zákona COPPA). Existuje však několik zákonů, včetně federálních a státních, které obsahují ustanovení o ochraně osobních údajů.

FTC (Federální obchodní komise) reguluje ochranu osobních údajů pro všechny spotřebitele v USA a následující zákony mají všechny dopad na ochranu osobních údajů:

• Zákon o Američanech se zdravotním postižením
• Zákon o kabelové komunikaci z roku 1984
• Zákon o ochraně soukromí dětí na internetu (COPPA)
• Zákon o počítačovém podvodu a zneužití z roku 1986
• Zákon o počítačové bezpečnosti z roku 1997
• Zákon o kontrole spotřebitelských úvěrových zpráv
• Kalifornský zákon o ochraně soukromí online (CalOPPA)
• Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), novelizovaný kalifornským zákonem o právech na soukromí (CPRA)
• Zákon o ochraně osobních údajů státu Maryland (PIPA)
• Zákon o ochraně údajů spotřebitelů ve Virginii (VCDPA)
• Zákon státu Louisiana o oznamování narušení bezpečnosti databází
• Zákon státu New York o zastavení hackerských útoků a zlepšení bezpečnosti elektronických dat (SHIELD)

Existují také zákony týkající se biometrických údajů, které poskytují spotřebitelům novou úroveň ochrany soukromí a údajů. Mezi tyto zákony patří:

• Utah: Zákon o ochraně genetických informací (GIPA)
• Texas: Zákon o sběru a používání biometrických identifikátorů (CUBI)
• Arizona: HB 2478
• Oregon: Zákon o ochraně informací spotřebitelů (OCIPA)
• Stát Washington: HB 1493
• Illinois: Zákon o ochraně biometrických údajů (BIPA)

Vzdělávací nadace Kalifornské spotřebitelské federace jasně stanoví, že podle zákona CalOPPA musí každý provozovatel komerčního webu nebo online služby, který prostřednictvím internetu shromažďuje osobní údaje o jednotlivých spotřebitelích s bydlištěm v Kalifornii, mít na svém webu zveřejněny zásady ochrany osobních údajů:

Zákon CCPA vstoupil v platnost 1. ledna 2020, přičemž jeho novelizace v podobě zákona CPRA vstoupí v platnost 1. ledna 2023. Ovlivňuje to, co musí určité podniky, které oslovují obyvatele Kalifornie, uvádět ve svých zásadách ochrany osobních údajů. Klíčovou roli zde hraje transparentnost, stejně jako přiznání dodatečných práv uživatelům, pokud jde o kontrolu nad tím, co se děje s jejich osobními údaji.

Podle zákona CCPA (CPRA) musí podnik zveřejnit, jaké typy osobních údajů shromažďuje a jak bude každý typ využívat. Toto zveřejnění musí provést před shromážděním jakýchkoli osobních údajů. Toho lze dosáhnout prostřednictvím informativních zásad ochrany osobních údajů v souladu s CCPA.

Práva, která mají spotřebitelé podle zákona CCPA (CPRA), musí být rovněž uvedena v zásadách ochrany osobních údajů každého podniku, který spadá do působnosti zákona CCPA (CPRA).

Podobně jako u zákona CalOPPA nezáleží na tom, zda je váš podnik registrován nebo sídlí v Kalifornii, pokud jde o to, zda se na něj zákon CCPA (CPRA) vztahuje. Pokud vaše společnost oslovuje obyvatele Kalifornie – což je pravděpodobné – musíte mít zásady ochrany osobních údajů, které zveřejňují vaše postupy v oblasti ochrany osobních údajů.

Novela CCPA v podobě CPRA obsahuje některé specifické požadavky pro podniky, které spadají do její působnosti.

CPRA rozšířila požadavky CCPA, takže přináší další požadavky a povinnosti.

Zásady ochrany osobních údajů požadované v Austrálii

V Austrálii je zákonem upravujícím ochranu osobních údajů zákon o ochraně osobních údajů z roku 1988. Australský zákon o ochraně osobních údajů z roku 1988 vyžaduje, aby společnosti z Austrálie měly zásady ochrany osobních údajů.

Tento zákon upravuje nakládání s osobními údaji fyzických osob a zmiňuje shromažďování, používání, uchovávání a zveřejňování osobních údajů.

Sdružuje 13 zásad ochrany osobních údajů, které by měla dodržovat každá společnost, která je povinna dodržovat zákon o ochraně osobních údajů.

První zásadou ochrany osobních údajů je mít zásady ochrany osobních údajů a udržovat je v aktuálním stavu.

Aby byly zásady ochrany osobních údajů v souladu s předpisy, musí být ve formátu, který je snadno čitelný, bezplatný a musí obsahovat následující informace:

• Jaké druhy osobních údajů podnik shromažďuje a uchovává
• Jak jsou tyto údaje shromažďovány a uchovávány
• Proč jsou tyto údaje shromažďovány, uchovávány a (v příslušných případech) sdělovány třetím stranám
• Jak mohou jednotlivci získat přístup k osobním údajům, které o nich jsou uchovávány, a jak je mohou opravit
• Jak mohou jednotlivci podat stížnost na porušení australských zásad ochrany osobních údajů nebo jiného závazného kodexu a jak budou stížnosti vyřizovány
• Zda je pravděpodobné, že společnost bude osobní údaje sdělovat příjemcům v zahraničí, a pokud ano, v jakých zemích se tito příjemci pravděpodobně nacházejí, je-li to prakticky možné

Zásady ochrany osobních údajů požadované ve Velké Británii

Zákon o ochraně osobních údajů z roku 1998 (neboli DPA) je zákon o ochraně soukromí ve Spojeném království, který stanoví povinnost mít zásady ochrany osobních údajů.

Společnosti, které musí dodržovat britský zákon DPA, musí dodržovat 8 zásad, které jsou zde shrnuty:

• Jakékoli osobní údaje od uživatelů musí být shromažďovány konkrétním a zákonným způsobem. Údaje také nesmí být zpracovávány žádným způsobem, který je s tímto účelem neslučitelný.
• Osobní údaje, které shromažďujete, by měly být přiměřené, relevantní a neměly by být nadměrné ve vztahu k účelu, pro který je shromažďujete.
• Osobní údaje by měly být aktuální a přesné.
• Jakékoli osobní údaje shromážděné od uživatelů by neměly být uchovávány déle, než je nezbytné pro účel, pro který byly shromážděny.

Jedním z nejdůležitějších práv, které zákon o ochraně osobních údajů (DPA) přiznává obyvatelům Spojeného království, je právo být informován o tom, jak jsou jejich údaje používány. Právě zde se zásady ochrany osobních údajů stávají zásadním požadavkem. Bez nich porušujete práva svých zákazníků tím, že nejste informativní a transparentní.

Pokud podnikáte ve Spojeném království, ujistěte se, že vytvoříte informativní zásady ochrany osobních údajů, které zveřejňují minimálně:

• Jaké osobní údaje shromažďujete a za jakým konkrétním zákonným účelem
• Jak data v souladu s tímto účelem používáte
• Jaká práva mají uživatelé a jak je mohou uplatnit
• Jak dlouho obecně uchováváte údaje
• Jak zajišťujete bezpečnost a ochranu shromážděných údajů

Zásady ochrany osobních údajů požadované v Kanadě

PIPEDA, zákon o ochraně osobních údajů a elektronických dokumentů, je hlavním kanadským zákonem na ochranu uživatelských údajů.

Zákon PIPEDA vyžaduje, aby kanadské společnosti měly zásady ochrany osobních údajů a aby tyto zásady byly snadno čitelné a srozumitelné. To znamená, že nesmí obsahovat právní žargon ani příliš složité klauzule.

Podle zákona PIPEDA se osobními údaji rozumí:

jakékoli identifikovatelné informace o fyzické osobě, ať už jsou zaznamenány či nikoli, a vztahuje se na shromažďování, používání a zveřejňování osobních údajů organizacemi v rámci obchodních činností.

Každá společnost, na kterou se vztahuje zákon PIPEDA, je povinna zveřejnit informace o tom, jak nakládá s osobními údaji.

Podle Úřadu kanadského komisaře pro ochranu soukromí je zavedení kvalitních zásad ochrany osobních údajů jedním z nejdůležitějších způsobů, jak může společnost tuto povinnost splnit a tím budovat důvěru veřejnosti a získávat loajalitu zákazníků.

Mezi tipy pro zásady ochrany osobních údajů, které nabízí komisař pro ochranu soukromí, patří následující:

• Velmi jasně a konkrétně popište, čím se vaše firma skutečně zabývá. Ujistěte se, že čtenáři rozumí tomu, co zveřejňujete, a že nezveřejňujete pouze obecné informace. Nepoužívejte právnický jazyk a vyjadřujte se jednoduše.
• Uveďte všechny možnosti, které nabízíte, pokud jde o kontrolu uživatelů nad tím, jak jsou jejich osobní údaje používány. Pokud například umožňujete odhlášení z osobního marketingu, jasně uveďte, že tuto možnost nabízíte, a jak se uživatel může skutečně odhlásit.
• Jasně uveďte, jak mohou uživatelé získat přístup k osobním údajům, které o nich máte, a jak mohou požádat o opravu nebo vymazání těchto údajů.
• Zásady pravidelně aktualizujte, aby vždy přesně odrážely vaše skutečné postupy.
• Umožněte uživatelům snadný kontakt v případě dotazů.
• Zajistěte, aby byly vaše zásady ochrany osobních údajů snadno k nalezení a přístupné.

Existuje také Digitální charta, která pomáhá jednotlivcům převzít kontrolu nad svými osobními údaji v čím dál více digitálním světě.

Zásady ochrany osobních údajů požadované v Evropské unii (EU)

Obecné nařízení o ochraně osobních údajů (GDPR) upravuje zpracování osobních údajů v rámci Evropské unie. Toto nařízení klade přísné globální požadavky na společnosti, které mají uživatele v EU.

Jedním z hlavních požadavků GDPR je, abyste měli zásady ochrany osobních údajů, které jsou snadno přístupné a srozumitelné.

Jedním z hlavních požadavků GDPR je, abyste měli zásady ochrany osobních údajů, které jsou snadno přístupné a srozumitelné.

Vaše zásady ochrany osobních údajů v souladu s GDPR budou muset obsahovat minimálně následující informace:

• Jaké typy osobních údajů zpracováváte
• Jak je zpracováváte
• Jaký je váš právní základ pro jejich zpracování
• Jak dlouho je uchováváte a co se stane po uplynutí doby uchovávání
• Zda sdílejí osobní údaje s třetími stranami
• Zda předáváte osobní údaje do zahraničí a pokud ano, jaká máte zavedena bezpečnostní opatření
• 8 práv, která mají vaši uživatelé, a jak je mohou uplatnit
• Kontaktní údaje alespoň vaší společnosti a případně také vašehopověřence pro ochranu osobních údajů (DPO) nebo zástupce v EU

Souhlas má v rámci GDPR obrovský význam, takže pokud se na vás toto nařízení vztahuje, měli byste se seznámit s tím, jak se změní vaše požadavky na souhlas.

Zásady ochrany osobních údajů požadované v Brazílii

Hlavním brazilským zákonem o ochraně osobních údajů je brazilský obecný zákon o ochraně osobních údajů (LGPD). LGPD se týká podniků po celém světě, pokud shromažďují osobní údaje od osob nacházejících se v Brazílii.

LGPD vyžaduje zveřejnění následujících informací prostřednictvím zásad ochrany osobních údajů:

• Proč jsou osobní údaje zpracovávány
• Proč ke zpracování dochází a jak dlouho trvá
• Totožnost a kontaktní údaje správce údajů
• Zda budou osobní údaje sdíleny, a pokud ano, za jakým účelem
• Jaké jsou povinnosti správců a zpracovatelů údajů, kteří budou osobní údaje zpracovávat
• Informace o právech jednotlivce, pokud jde o jeho osobní údaje

Zásady ochrany osobních údajů požadované v Číně

Čínský zákon o ochraně osobních údajů (PIPL) vstoupil v platnost 1. listopadu 2021. Jedním z hlavních aspektů tohoto zákona jsou práva na ochranu soukromí, která přiznává jednotlivcům v Číně.

Pokud spadáte do působnosti zákona PIPL, budete muset v zásadách ochrany osobních údajů uvést řadu informací, včetně následujících:

• Jméno a kontaktní údaje osoby ve vaší společnosti, která zpracovává osobní údaje
• Informace o třetích stranách, kterým mohou být údaje předávány
• Jaká práva mají fyzické osoby podle zákona PIPL a jak je mohou uplatnit
• Jaké typy osobních údajů shromažďujete, proč je shromažďujete, jak je ukládáte a na jak dlouho

Zásady ochrany osobních údajů jsou vyžadovány v Singapuru, Malajsii, Jižní Koreji a Vietnamu

V jihovýchodní Asii vyžadují různé národní zákony, aby společnosti měly uzavřenou smlouvu o zásadách ochrany osobních údajů. Mezi tyto zákony patří například:

• V Singapuru je to zákon o ochraně osobních údajů z roku 2012 (PDPA).
• V Malajsii se tento zákon také nazývá Zákon o ochraně osobních údajů (PDPA). Malajský zákon PDPA vstoupil v platnost v listopadu 2013.
• V Jižní Koreji se nazývá Zákon o ochraně osobních údajů a vstoupil v platnost v roce 2012.
• Ve Vietnamu se jedná o článek 21 zákona o informačních technologiích

Vzhledem k tomu, že tyto zákony nejsou v současné době tak přísné jako některé zákony v EU a Spojených státech, můžete si být téměř jisti, že je dodržujete, pokud splníte požadavky GDPR nebo CalOPPA.

Požadavky na zásady ochrany osobních údajů jinde ve světě

Ve světě existuje řada dalších zemí, které mají zákony na ochranu soukromí vyžadující zásady ochrany osobních údajů. Přečtěte si náš článek „Zákony na ochranu soukromí podle zemí“, kde najdete některé další zákony a získáte komplexnější přehled o některých výše zmíněných zákonech.

Požadavky na zásady ochrany osobních údajů ze strany třetích stran

Třetí strany často vyžadují zásady ochrany osobních údajů, pokud využíváte jejich služby.

Například pokud vaše aplikace shromažďuje osobní údaje, budou platit následující požadavky třetích stran na ochranu osobních údajů:

Všechny aplikace pro iOS musí mít zásady ochrany osobních údajů. Pokyny pro posuzování aplikací v App Store společnosti Apple to výslovně uvádějí:

Aplikace pro Android mají stejný požadavek na zásady ochrany osobních údajů. Smlouva o distribuci pro vývojáře z obchodu Google Play vyžaduje, abyste měli zavedené postupy a oznámení týkající se ochrany osobních údajů:

I když provozujete jednoduchý web a používáte pouze Google Analytics, stále budete potřebovat zásady ochrany osobních údajů. Podmínky služby Google Analytics vyžadují, aby všichni uživatelé Analytics měli zavedené zásady ochrany osobních údajů:

Zásady platformy Facebook pro vývojáře vyžadují, abyste měli zásady ochrany osobních údajů pro aplikace Facebook, které můžete vyvíjet:

Pokud používáte službu Přihlášení přes Amazon, Průvodce pro vývojáře webových stránek Amazon vyžaduje, abyste měli k dispozici zásady ochrany osobních údajů, než budete moci používat funkci přihlášení:

Pokud služba třetí strany výslovně nevyžaduje, abyste měli zásady ochrany osobních údajů, abyste mohli službu používat, můžete si být jisti, že v podmínkách použití je nějaké ustanovení, které vyžaduje, abyste při používání služby dodržovali všechny platné zákony.

Pokud váš web nebo aplikace shromažďuje osobní údaje a spadá pod některý ze zákonů o ochraně osobních údajů, který vyžaduje zásady ochrany osobních údajů, bude tato klauzule vyžadovat, abyste tento zákon dodržovali, abyste mohli službu využívat. Je to oklikový, ale účinný způsob, jak vyžadovat dodržování předpisů.

V některých případech, i když neshromažďujete žádné osobní údaje, může služba třetí strany stále vyžadovat, abyste zahrnuli zásady ochrany osobních údajů, které tuto skutečnost uvádějí, a to pouze z důvodu transparentnosti.

Musíte znát zákony, které chrání vaše uživatele, ať už se nacházejí kdekoli. Nezapomeňte si přečíst a zkontrolovat všechny smluvní podmínky nebo smlouvy o používání, abyste zjistili případné požadavky třetích stran na služby, které vaše webová stránka nebo aplikace využívá.

Shrnutí

*Poznámka redakce: Výše uvedená prezentace obsahuje zastaralé informace týkající se právních předpisů EU. Obsah článku byl aktualizován k 16. červenci 2019. Omlouváme se za případné nepříjemnosti.

Pokud shromažďujete osobní údaje z jakéhokoli místa na světě a od lidí z celého světa, je prakticky jisté, že budete muset mít a zveřejnit zásady ochrany osobních údajů. Pokud na vás platí jakýkoli zákon, který to vyžaduje, budete muset vytvořit a zveřejnit zásady ochrany osobních údajů, které jsou v souladu s tímto zákonem.

Mnohé zákony mají překrývající se požadavky, což znamená, že pokud splňujete jeden, pravděpodobně splňujete i další. Pro úplnou shodu s předpisy se však musíte seznámit se všemi platnými zákony dané jurisdikce.