Stručně: Paragraf 16 ZZOÚ stanoví, jaké povinnosti má správce nebo zpracovatel osobních údajů při zpracování těchto údajů pro účely vědeckého nebo historického výzkumu či pro statistické účely, a to s důrazem na ochranu práv subjektů údajů.
§ 16 Zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely
(1) Správce nebo zpracovatel při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely zajistí dodržování konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Taková opatření mohou zahrnovat zejména
a) technická a organizační opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5 odst. 1 písm. c) nařízení Evropského parlamentu a Rady (EU) 2016/679,
b) pořizování záznamů alespoň o všech operacích shromáždění, vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně po dobu 2 let od provedení operace,
c) informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů,
d) jmenování pověřence,
e) zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele,
f) pseudonymizaci osobních údajů,
g) šifrování osobních údajů,
h) opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,
i) opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů,
j) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
k) zvláštní omezení přenosu osobních údajů do třetí země, nebo
l) zvláštní omezení zpracování osobních údajů pro jiné účely.
(2) Pokud to umožňuje dosáhnout účelu uvedeného v odstavci 1, osobní údaje uvedené v čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 správce nebo zpracovatel dále zpracovává v podobě, která neumožňuje identifikaci subjektu údajů, ledaže tomu brání oprávněné zájmy subjektu údajů.
(3) Nestanoví-li jiný právní předpis jinak, čl. 15, 16, 18 a 21 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k naplnění účelu zpracování uvedeného v odstavci 1. Článek 15 a v jemu odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, pokud je zpracování nezbytné pro účely vědeckého výzkumu a poskytnutí informací by vyžadovalo nepřiměřené úsilí.
Díl 2
Výklad
Stručně
Paragraf 16 ZZOÚ stanoví, jaké povinnosti má správce nebo zpracovatel osobních údajů při zpracování těchto údajů pro účely vědeckého nebo historického výzkumu či pro statistické účely, a to s důrazem na ochranu práv subjektů údajů.
Co to znamená v praxi
Při zpracování osobních údajů pro vědecké, historické nebo statistické účely je nutné zavést konkrétní technická a organizační opatření k ochraně práv a svobod fyzických osob, která odpovídají aktuálnímu stavu techniky a dalším okolnostem.
Mezi tato opatření může patřit například pořizování záznamů o operacích s osobními údaji, informování zaměstnanců o povinnostech, jmenování pověřence, omezení přístupu k údajům, pseudonymizace, šifrování nebo zajištění odolnosti systémů.
Pokud je to možné a slouží to k dosažení účelu zpracování, citlivé osobní údaje (uvedené v čl. 9 odst. 1 GDPR) by měly být zpracovávány tak, aby neumožňovaly identifikaci subjektu údajů, pokud tomu nebrání oprávněné zájmy subjektu údajů.
Některá práva subjektů údajů a povinnosti správce (např. právo na přístup k údajům, právo na opravu, právo vznést námitku) mohou být při tomto typu zpracování přiměřeně upravena nebo odložena, pokud je to nezbytné pro naplnění účelu zpracování.
Na co si dát pozor
Je třeba pečlivě zvážit a zavést vhodná opatření k ochraně osobních údajů, která odpovídají povaze a rizikům konkrétního výzkumu nebo statistického zpracování.
Při zpracování citlivých osobních údajů je prioritou jejich zpracování v podobě, která neumožňuje identifikaci subjektu údajů.
I když mohou být některá práva subjektů údajů omezena, je nutné vždy posoudit nezbytnost a přiměřenost takového omezení pro daný účel zpracování.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.