Zásady ochrany osobních údajů jsou ze zákona povinné

Zákonné požadavky na zásady ochrany osobních údajů platí po celém světě, pokud shromažďujete údaje, které lze použít k identifikaci konkrétní osoby. Důvodem je skutečnost, že tyto údaje jsou po celém světě chráněny řadou důležitých zákonů, které v takových případech vyžadují vypracování zásad ochrany osobních údajů.

V tomto článku se podíváme na některé z klíčových globálních zákonů na ochranu osobních údajů, které vyžadují vypracování zásad ochrany osobních údajů.

Co jsou zásady ochrany osobních údajů?

Zásady ochrany osobních údajů slouží k zveřejnění vašich postupů, pokud jde o shromažďování, používání a nakládání s osobními údaji vašich uživatelů. Poskytují informace a zajišťují transparentnost.

Jaké osobní údaje jsou dostatečně osobní na to, aby identifikovaly konkrétní osobu? Do této kategorie spadá mnoho údajů, zde je jen několik příkladů:

• E-mailové adresy
• Jména a příjmení
• Doručovací nebo fakturační adresy. Většina e-shopů bude potřebovat zásady ochrany osobních údajů, protože každá transakce související s nákupem zahrnuje osobní údaje uživatelů.
• Čísla sociálního zabezpečení
• Data narození
• Uživatelská jména na sociálních sítích a profilové obrázky

Anonymní údaje (které neobsahují osobní údaje) lze rovněž klasifikovat jako „osobní identifikační údaje“, pokud jsou použity ve spojení s jiným typem údajů, které mohou vést k identifikaci konkrétní osoby. Například některé typy IP adres jsou podle moderních zákonů o ochraně osobních údajů právně chráněnými osobními údaji.

*Poznámka redakce: Výše uvedené video obsahuje zastaralé informace týkající se právních předpisů EU. Obsah článku byl aktualizován k 16. červenci 2019. Omlouváme se za případné nepříjemnosti.

Zákony na ochranu osobních údajů, které vyžadují zásady ochrany osobních údajů

Zákony na ochranu osobních údajů existují v zemích po celém světě. Zde uvádíme několik z těch, které mají nejširší dosah a největší dopad na podniky po celém světě.

Zásady ochrany osobních údajů vyžadované ve Spojených státech

V USA v době psaní tohoto článku neexistují žádné federální zákony, které by podnikům ukládaly povinnost mít zásady ochrany osobních údajů (s výjimkou zákona COPPA). Existuje však několik zákonů, včetně federálních a státních, které obsahují ustanovení o ochraně osobních údajů.

FTC (Federální obchodní komise) reguluje ochranu údajů pro všechny spotřebitele v USA a následující zákony mají všechny dopad na ochranu osobních údajů:

• Zákon o Američanech se zdravotním postižením
• Zákon o kabelové komunikaci z roku 1984
• Zákon o ochraně soukromí dětí na internetu (COPPA)
• Zákon o počítačovém podvodu a zneužití z roku 1986
• Zákon o počítačové bezpečnosti z roku 1997
• Zákon o kontrole spotřebitelských úvěrových zpráv
• Kalifornský zákon o ochraně soukromí online (CalOPPA)
• Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), novelizovaný kalifornským zákonem o právech na soukromí (CPRA)
• Zákon o ochraně osobních údajů státu Maryland (PIPA)
• Zákon o ochraně údajů spotřebitelů ve Virginii (VCDPA)
• Zákon státu Louisiana o oznamování narušení bezpečnosti databází
• Newyorský zákon o zastavení hackerských útoků a zlepšení bezpečnosti elektronických dat (SHIELD)

Existují také zákony o biometrii, které poskytují novou úroveň ochrany soukromí a údajů spotřebitelů. Mezi tyto zákony patří:

• Utah: Zákon o ochraně genetických informací (GIPA)
• Texas: Zákon o sběru a používání biometrických identifikátorů (CUBI)
• Arizona: HB 2478
• Oregon: Zákon o ochraně informací spotřebitelů (OCIPA)
• Stát Washington: HB 1493
• Illinois: Zákon o ochraně soukromí biometrických údajů (BIPA)

Vzdělávací nadace Kalifornské spotřebitelské federace jasně uvádí, že podle zákona CalOPPA musí každý provozovatel komerčního webu nebo online služby, který prostřednictvím internetu shromažďuje osobní identifikační údaje o jednotlivých spotřebitelích s bydlištěm v Kalifornii, mít na svém webu zásady ochrany osobních údajů:

Zákon CCPA vstoupil v platnost 1. ledna 2020, přičemž jeho novelizace v podobě zákona CPRA vstoupí v platnost 1. ledna 2023. Ovlivňuje to, co musí určité podniky, které oslovují obyvatele Kalifornie, uvádět ve svých zásadách ochrany osobních údajů. Klíčovou roli zde hraje transparentnost, stejně jako přiznání dodatečných práv uživatelům, pokud jde o kontrolu nad tím, co se děje s jejich osobními údaji.

Podle zákona CCPA (CPRA) musí podnik zveřejnit, jaké typy osobních údajů shromažďuje a jak bude každý typ využívat. Toto zveřejnění musí provést před shromážděním jakýchkoli osobních údajů. Toho lze dosáhnout prostřednictvím informativních zásad ochrany osobních údajů, které jsou v souladu s CCPA.

Práva, která mají spotřebitelé podle zákona CCPA (CPRA), musí být rovněž uvedena v zásadách ochrany osobních údajů každého podniku, který spadá do působnosti zákona CCPA (CPRA).

Podobně jako u zákona CalOPPA nezáleží na tom, zda je vaše společnost zapsána v Kalifornii nebo zda se v Kalifornii nachází, pokud jde o to, zda se na ni vztahuje zákon CCPA (CPRA). Pokud vaše společnost oslovuje obyvatele Kalifornie – což je pravděpodobné – musíte mít zásady ochrany osobních údajů, které zveřejňují vaše postupy v oblasti ochrany osobních údajů.

Novela CCPA v podobě zákona CPRA obsahuje některé specifické požadavky pro podniky, které spadají do její působnosti.

Zákon CPRA rozšířil požadavky zákona CCPA, a proto přináší další požadavky a povinnosti.

Zásady ochrany osobních údajů požadované v Austrálii

V Austrálii je zákonem upravujícím ochranu osobních údajů zákon o ochraně osobních údajů z roku 1988. Australský zákon o ochraně osobních údajů z roku 1988 vyžaduje, aby společnosti z Austrálie měly zásady ochrany osobních údajů.

Tento zákon upravuje nakládání s osobními údaji fyzických osob a zabývá se shromažďováním, používáním, uchováváním a zveřejňováním osobních údajů.

Obsahuje 13 zásad ochrany osobních údajů, které by měla dodržovat každá společnost, která je povinna dodržovat zákon o ochraně osobních údajů.

Prvním zásadním principem ochrany soukromí je mít zásady ochrany osobních údajů a udržovat je v aktuálním stavu.

Aby byly zásady ochrany osobních údajů v souladu s předpisy, musí být ve formátu, který je snadno čitelný, bezplatný a musí obsahovat následující informace:

• Jaké druhy osobních údajů podnik shromažďuje a uchovává
• Jak jsou tyto údaje shromažďovány a uchovávány
• Proč jsou tyto údaje shromažďovány, uchovávány a (v příslušných případech) předávány třetím stranám
• Jak mohou jednotlivci získat přístup k osobním údajům, které o nich podnik uchovává, a jak je mohou opravit
• Jak mohou jednotlivci podat stížnost na porušení australských zásad ochrany osobních údajů nebo jiného závazného kodexu a jak budou stížnosti vyřizovány
• Zda je pravděpodobné, že společnost bude osobní údaje sdělovat příjemcům v zahraničí, a pokud ano, v jakých zemích se tito příjemci pravděpodobně nacházejí, je-li to prakticky možné

Zásady ochrany osobních údajů požadované ve Velké Británii

Zákon o ochraně osobních údajů z roku 1998 (neboli DPA) je zákon o ochraně soukromí ve Spojeném království, který stanoví povinnost mít zásady ochrany osobních údajů.

Společnosti, které musí dodržovat britský zákon DPA, musí dodržovat 8 zásad, které jsou zde shrnuty:

• Jakékoli osobní údaje od uživatelů musí být shromažďovány konkrétním a zákonným způsobem. Údaje také nesmí být zpracovávány žádným způsobem, který je s tímto účelem neslučitelný.
• Osobní údaje, které shromažďujete, by měly být přiměřené, relevantní a neměly by být nadbytečné ve vztahu k účelu, pro který je shromažďujete.
• Osobní údaje by měly být aktuální a přesné.
• Jakékoli osobní údaje shromážděné od uživatelů by neměly být uchovávány déle, než je nezbytné pro účel, pro který byly shromážděny.

Jedním z nejdůležitějších práv, které zákon o ochraně osobních údajů (DPA) přiznává obyvatelům Spojeného království, je právo být informován o tom, jak jsou jejich údaje používány. Právě zde se zásady ochrany osobních údajů stávají zásadním požadavkem. Bez nich porušujete práva svých zákazníků tím, že nejste informativní a transparentní.

Pokud podnikáte ve Velké Británii, ujistěte se, že vytvoříte informativní zásady ochrany osobních údajů, které obsahují minimálně:

• Jaké osobní údaje shromažďujete a za jakým konkrétním zákonným účelem
• Jakým způsobem data v souladu s tímto účelem využíváte
• Jaká práva mají uživatelé a jak je mohou uplatnit
• Jak dlouho obecně uchováváte údaje
• Jak zajišťujete bezpečnost a ochranu shromážděných údajů

Zásady ochrany osobních údajů požadované v Kanadě

PIPEDA, zákon o ochraně osobních údajů a elektronických dokumentů, je hlavním kanadským zákonem na ochranu uživatelských údajů.

Zákon PIPEDA vyžaduje, aby kanadské společnosti měly zásady ochrany osobních údajů a aby tyto zásady byly snadno čitelné a srozumitelné. To znamená, že nesmí obsahovat právní žargon ani příliš složité klauzule.

Podle zákona PIPEDA se osobními údaji rozumí:

jakékoli identifikovatelné informace o fyzické osobě, ať již zaznamenané či nikoli, a vztahuje se na shromažďování, používání a zveřejňování osobních údajů organizacemi v rámci obchodních činností.

Každá společnost, na kterou se vztahuje zákon PIPEDA, je povinna zveřejnit informace o tom, jak nakládá s osobními údaji.

Podle Úřadu kanadského komisaře pro ochranu soukromí je zavedení dobré politiky ochrany soukromí jedním z nejdůležitějších způsobů, jak může podnik tuto povinnost splnit a tím budovat důvěru veřejnosti a získávat loajalitu zákazníků.

Mezi tipy pro politiku ochrany soukromí, které nabízí komisař pro ochranu soukromí, patří následující:

• Velmi jasně a konkrétně popište, čím se vaše firma skutečně zabývá. Ujistěte se, že čtenáři rozumí tomu, co zveřejňujete, a že nezveřejňujete pouze obecné informace. Nepoužívejte právnický jazyk a pište jednoduše.
• Uveďte všechny možnosti, které nabízíte, pokud jde o kontrolu uživatelů nad tím, jak jsou jejich osobní údaje používány. Pokud například umožňujete odhlášení z osobního marketingu, jasně uveďte, že tuto možnost nabízíte, a jak se uživatel může skutečně odhlásit.
• Jasně uveďte, jak mohou uživatelé získat přístup k osobním údajům, které o nich máte, a jak mohou požádat o opravu nebo vymazání těchto údajů.
• Zásady pravidelně aktualizujte, aby vždy přesně odrážely vaše skutečné postupy.
• Umožněte uživatelům snadný kontakt v případě dotazů.
• Zajistěte, aby byly vaše zásady ochrany osobních údajů snadno dohledatelné a přístupné.

Existuje také Digitální charta, která pomáhá jednotlivcům převzít kontrolu nad svými osobními údaji v čím dál více digitalizovaném světě.

Zásady ochrany osobních údajů požadované v Evropské unii (EU)

Obecné nařízení o ochraně osobních údajů (GDPR) upravuje zpracování osobních údajů v rámci Evropské unie. Toto nařízení klade přísné globální požadavky na společnosti, které mají uživatele v EU.

Jedním z hlavních požadavků GDPR je, abyste měli zásady ochrany osobních údajů, které jsou snadno přístupné a srozumitelné.

Jedním z hlavních požadavků GDPR je, abyste měli zásady ochrany osobních údajů, které jsou snadno dostupné a srozumitelné.

Vaše zásady ochrany osobních údajů v souladu s GDPR budou muset obsahovat minimálně následující informace:

• Jaké typy osobních údajů zpracováváte
• Jak je zpracováváte
• Jaký je váš právní základ pro jejich zpracování
• Jak dlouho je uchováváte a co se stane po uplynutí doby uchovávání
• Zda sdílejí osobní údaje s třetími stranami
• Zda předáváte osobní údaje do zahraničí a pokud ano, jaká máte zavedena bezpečnostní opatření
• 8 práv, která mají vaši uživatelé, a jak je mohou uplatnit
• Kontaktní údaje alespoň vaší společnosti a případně také vašeho DPO nebo zástupce v EU

Souhlas má v rámci GDPR obrovský význam, takže pokud se na vás toto nařízení vztahuje, měli byste se seznámit s tím, jak se změní vaše požadavky na souhlas.

V Brazílii je vyžadována politika ochrany osobních údajů

Hlavním brazilským zákonem o ochraně osobních údajů je brazilský obecný zákon o ochraně osobních údajů (LGPD). LGPD se týká podniků po celém světě, pokud shromažďují osobní údaje od osob nacházejících se v Brazílii.

LGPD vyžaduje zveřejnění následujících informací prostřednictvím zásad ochrany osobních údajů:

• Proč jsou osobní údaje zpracovávány
• Proč ke zpracování dochází a jak dlouho trvá
• Totožnost a kontaktní údaje správce údajů
• Zda budou osobní údaje sdíleny, a pokud ano, za jakým účelem
• Jaké jsou povinnosti správců a zpracovatelů údajů, kteří budou osobní údaje zpracovávat
• Informace o právech jednotlivce v souvislosti s jeho osobními údaji

Zásady ochrany osobních údajů požadované v Číně

Čínský zákon o ochraně osobních údajů (PIPL) vstoupil v platnost 1. listopadu 2021. Jedním z hlavních aspektů tohoto zákona jsou práva na ochranu soukromí, která přiznává jednotlivcům v Číně.

Pokud spadáte do působnosti zákona PIPL, budete muset v zásadách ochrany osobních údajů uvést řadu informací, včetně následujících:

• Jméno a kontaktní údaje osoby ve vaší společnosti odpovědné za zpracování osobních údajů
• Informace o třetích stranách, kterým mohou být údaje předávány
• Jaká práva mají fyzické osoby podle zákona PIPL a jak je mohou uplatnit
• Jaké typy osobních údajů shromažďujete, proč je shromažďujete, jak je ukládáte a jak dlouho je uchováváte

Zásady ochrany osobních údajů požadované v Singapuru, Malajsii, Jižní Koreji a Vietnamu

V jihovýchodní Asii vyžadují různé národní zákony, aby společnosti měly smlouvu o zásadách ochrany osobních údajů. Mezi tyto zákony patří například:

• V Singapuru se jedná o zákon o ochraně osobních údajů z roku 2012 (PDPA).
• V Malajsii se tento zákon také nazývá Zákon o ochraně osobních údajů (PDPA). Malajský zákon PDPA vstoupil v platnost v listopadu 2013.
• V Jižní Koreji se nazývá Zákon o ochraně osobních údajů a vstoupil v platnost v roce 2012.
• Ve Vietnamu se jedná o článek 21 zákona o informačních technologiích

Vzhledem k tomu, že tyto zákony nejsou v současné době tak přísné jako některé zákony v EU a Spojených státech, můžete si být téměř jisti, že je dodržujete, pokud splníte požadavky GDPR nebo CalOPPA.

Požadavky na zásady ochrany osobních údajů v jiných částech světa

Ve světě existuje řada dalších zemí, které mají zákony na ochranu soukromí vyžadující zásady ochrany osobních údajů. Přečtěte si náš článek „Zákony na ochranu soukromí podle zemí“, kde najdete některé další zákony a získáte komplexnější přehled o některých výše zmíněných zákonech.

Požadavky na zásady ochrany osobních údajů ze strany třetích stran

Třetí strany často vyžadují zásady ochrany osobních údajů, pokud využíváte jejich služby.

Například pokud vaše aplikace shromažďuje osobní údaje, budou platit následující požadavky třetích stran na ochranu osobních údajů:

Všechny aplikace pro iOS potřebují zásady ochrany osobních údajů. Pokyny pro posuzování aplikací v App Store společnosti Apple to výslovně uvádějí:

Aplikace pro Android mají stejný požadavek na zásady ochrany osobních údajů. Smlouva o distribuci pro vývojáře z obchodu Google Play vyžaduje, abyste měli zavedeny postupy a oznámení týkající se ochrany osobních údajů:

I když provozujete jednoduchý web a používáte pouze Google Analytics, stále potřebujete zásady ochrany osobních údajů. Podmínky služby Google Analytics vyžadují, aby všichni uživatelé Analytics měli zavedeny zásady ochrany osobních údajů:

Zásady platformy Facebooku pro vývojáře vyžadují, abyste měli zásady ochrany osobních údajů pro aplikace Facebooku, které můžete vyvíjet:

Pokud používáte přihlášení přes Amazon, Průvodce pro vývojáře webových stránek Amazonu vyžaduje, abyste měli k dispozici zásady ochrany osobních údajů, než budete moci používat funkci přihlášení:

Pokud služba třetí strany výslovně nevyžaduje, abyste měli zásady ochrany osobních údajů, abyste mohli službu používat, můžete si být jisti, že v podmínkách použití je nějaká klauzule, která vyžaduje, abyste při používání služby dodržovali všechny platné zákony.

Pokud váš web nebo aplikace shromažďuje osobní údaje a spadá pod některý z platných zákonů o ochraně osobních údajů, který vyžaduje zásady ochrany osobních údajů, bude tato klauzule vyžadovat, abyste tento zákon dodržovali, abyste mohli službu využívat. Je to oklikový, ale účinný způsob, jak vyžadovat dodržování předpisů.

V některých případech, i když neshromažďujete žádné osobní údaje, může služba třetí strany stále vyžadovat, abyste zahrnuli zásady ochrany osobních údajů, které tuto skutečnost uvádějí, a to pouze z důvodu transparentnosti.

Musíte znát zákony, které chrání vaše uživatele, ať už se nacházejí kdekoli. Nezapomeňte si přečíst a zkontrolovat všechny smluvní podmínky nebo smlouvy o používání, abyste zjistili případné požadavky třetích stran na služby, které vaše webové stránky nebo aplikace mohou využívat.

Shrnutí

*Poznámka redakce: Výše uvedená prezentace obsahuje zastaralé informace týkající se právních předpisů EU. Obsah článku byl aktualizován k 16. červenci 2019. Omlouváme se za případné nepříjemnosti.

Pokud shromažďujete osobní údaje z jakéhokoli místa na světě a od osob nacházejících se po celém světě, je prakticky jisté, že budete muset mít a zveřejnit zásady ochrany osobních údajů. Pokud na vás dopadá jakýkoli zákon, který to vyžaduje, budete muset vytvořit a zveřejnit zásady ochrany osobních údajů, které jsou v souladu s tímto zákonem.

Mnohé zákony mají překrývající se požadavky, což znamená, že pokud splňujete jeden, můžete splňovat i druhý. Pro úplnou shodu s předpisy se však musíte seznámit se všemi platnými zákony, které musíte dodržovat.