6. Ochrana osobních údajů v kyberprostoru

6.2. GDPR

Obecné nařízení o ochraně osobních údajů (EU) 2016/679 (anglicky: General Data Protection Regulation neboli GDPR)[1] je jedním z významných mezinárodních právních dokumentů, který s problematikou kybernetické bezpečnosti bezprostředně souvisí, byť není primárně cílen do oblasti ICT.

GDPR ≠ IT + software.

Nové nařízení o ochraně osobních údajů má 778 řádků a z toho jen 26 se přímo týká IT bezpečnosti. Máte představu, co obsahují ty ostatní?“

Mgr. Eva Škorničková[2]

Právě na GDPR a implementaci povinností z tohoto nařízení vyplývajících je možné demonstrovat tu skutečnost, že je vhodné řešit komplexně problematiku bezpečnosti, a ne uměle izolovat povinnosti vyplývající z různých právních norem (v tomto případě ze zákona o kybernetické bezpečnosti a GDPR).

Cílem této publikace není provést samostatný a komplexní rozbor problematiky GDPR. Na tomto místě budou definovány pouze dílčí pojmy a práva a povinnosti, které z GDPR vyplývají a zároveň mají přesah do oblasti kybernetické bezpečnosti.

Nařízení GDPR představuje obecný právní rámec ochrany osobních údajů platný a účinný na celém území EU a v určitých případech i mimo toto teritorium. Hlavním cílem GDPR je zajistit komplexní ochranu práv subjektů údajů proti neoprávněnému zacházení s jejich daty a osobními údaji, nastolit rovnováhu mezi oprávněnými zájmy správců, zpracovatelů a subjektů údajů, vytvořit systém jednotné vymahatelnosti práva a jednotného sankčního mechanismu v této oblasti atd.

Rozsah shromažďování a sdílení osobních údajů právě díky informačním a komunikačním technologiím a službám, které jsou na ně navázány, významně vzrostl. Informační a komunikační technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu. Na druhou stranu je také možné pozorovat masivní dobrovolné zveřejňování osobních údajů samotnými fyzickými osobami, jichž se tyto údaje týkají.

Informační a komunikační technologie výrazně změnily ekonomiku i společenský život a měly by usnadňovat volný pohyb osobních údajů v rámci Evropské unie a předávání těchto údajů do třetích zemí a mezinárodním organizacím. Současně by však tyto technologie a procesy s nimi spojené měly zajistit vysokou úroveň ochrany osobních údajů.[3]

Díky výše uvedenému však vzniká zajímavý paradox, který spočívá v následujících bodech:

  • fyzické osoby samy a dobrovolně o sobě zveřejňují stále větší množství dat (fotografie, videa aj.), přičemž k distribuci těchto dat typicky využívají služby informační společnosti, které jsou založeny na EULA[4] či SLA[5] mezi uživatelem a poskytovatelem služby,
  • nejvíce jsou osobní údaje zveřejňovány v rámci sociálních sítí, které z podstaty své funkce takovéto zveřejňování předpokládají a zakotvují ve smluvních podmínkách pravidla, na základě kterých je s takovýmito daty zacházeno,
  • fyzické osoby při využívání řady služeb informační společnosti předpokládají, a mnohdy i očekávají interakci mezi těmito technologiemi a jejich kyberosobností[6],
  • mezinárodní společenství, stát, ale i fyzické osoby samy vyžadují vyšší zabezpečení osobních údajů a znemožnění přístupu k těmto údajům jiným (zpravidla neoprávněným) subjektům, a to vše za podmínky zachování existence prvních tří bodů tohoto paradoxu.

Důsledek tohoto paradoxu je zřejmý. Poskytovatelé služeb informační společnosti[7] tak musí věnovat vyšší úsilí zabezpečení jednotlivých služeb, které koncovému uživateli poskytují, vyšší úrovni zabezpečení dat vztahujících se k uživateli, modifikaci stávajících smluvních podmínek a zavedení dalších požadavků vyplývajících z GDPR.


6.2.1 Místní působnost GDPR

Někoho by mohlo napadnout, že způsobem, jak se vyhnout GDPR, by bylo přesunout se mimo jeho dosah, tedy mimo teritorium EU. Nařízení GDPR se však uplatní v případech, kdy:

  • provozovna správce nebo zpracovatele je v EU, bez ohledu na to, zda zpracování probíhá v EU,
  • správci nebo zpracovatelé nejsou usazení v EU, ale
    • zboží nebo služby jsou nabízeny subjektům údajů v EU (bez ohledu na úplatu),
    • je monitorováno chování subjektů údajů v rámci EU.[8]

Díky takto vymezené místní působnosti má GDPR exteritoriální dosah a de facto se bude vztahovat na všechny služby informační společnosti, ke kterým lze získat přístup z geografického teritoria EU, nebo které monitorují chování subjektů údajů v rámci EU.


6.2.2 Osobní údaj

Osobním údajem dle čl. 4 odst. 1 GDPR jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat zejména odkaz na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“

Osobním údajem je dle GDRP jakákoliv informace (např. obrazová, písemná, slovní, digitální, genetická, zdravotnická aj.), která má vztah (obsahem – např. jméno, adresa, pracovní zařazení, e-mail aj.), k subjektu údajů.[9] Z tohoto pohledu a v souladu s výkladem uvedeným v recitálech 30, 34, 35, 38 GDPR[10] je třeba za osobní údaj považovat:

  • jméno a příjmení,
  • identifikační číslo,
  • rodné číslo,
  • lokační údaje (geo-),
  • věk a datum narození,
  • pohlaví,
  • osobní stav,
  • občanství,
  • síťové identifikátory,
    • IP adresa,
    • identifikátory cookies,
    • radio frequency identification tags aj.,
  • fotografie,
  • prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity,
  • osobní či pracovní adresa,
  • osobní či pracovní telefonní číslo,
  • osobní či pracovní e-mail,
  • ověřovací identifikační údaje,
  • identifikační čísla vydaná státem.

Tučně vyznačené osobní údaje mají typicky vztah k informačním a komunikačním technologiím a aplikacím, které tyto technologie využívají. Rozšíření okruhu dat, jež je možné považovat za osobní údaje, výrazným způsobem zasahuje do problematiky kybernetické bezpečnosti a zajištění ochrany dat, která jsou spravována v dané organizaci.

Pokud se zaměříme na položku síťových identifikátorů a ověřovacích identifikačních údajů, zjistíme, že za osobní údaj může a zřejmě i bude považována řada dat umožňujících základní fungování počítačového systému v síti.

Velmi často byla v praxi diskutována otázka - je IP adresa osobním údajem?

V této věci je vhodné krom GDPR přihlédnout i k judikatuře Soudního dvora EU, který mimo jiné rozhodoval v kauze: Patrick Breyer proti Bundesrepublik Deutschland.[11]

Patrick Bayer se u německých soudů domáhal, aby Německo přestalo uchovávat jeho IP adresy, které získalo při jeho „návštěvách“ několika internetových stránek německých spolkových orgánů, které byly veřejně přístupné. Z pohledu činnosti provozovatelů dotčených webových stránek se jednalo o klasické logování služeb tímto ISP[12] nabízených.

Německé soudy přerušily řízení a položily předběžnou otázku soudnímu dvoru EU, protože v dané věci neexistuje jednotný výklad práva EU.

Jde zejména o to, jestli k tomu, aby nějaký údaj byl osobním údajem, a tedy identifikoval konkrétní osobu, je třeba vycházet z „objektivního“, či „relativního“ kritéria.

„Objektivní“ kritérium znamená, že údaje, jako jsou IP adresy, by mohly být považovány za osobní údaje zpracovávané ISP jiných služeb než připojení (např. provozovatelem internetové stránky), a to i tehdy, pokud by byla schopna identifikovat konkrétního uživatele jen třetí osoba (typicky ISP připojení).

„Relativní“ kritérium znamená, že IP adresy by mohly být považovány za osobní údaj u ISP připojení, neboť mu umožňují přesně určit totožnost uživatele, ale už ne u ISP služeb, který disponuje skutečně pouze údajem o IP adrese a nezná jméno návštěvníka.

Soudní dvůr EU konstatoval, že je nesporné, že dynamická IP adresa nepředstavuje informaci o „identifikované osobě“, neboť adresa přímo neodhaluje totožnost fyzické osoby, která je majitelem počítače, ze kterého byla navštívena internetová stránka, ani totožnost jiné osoby, která mohla tento počítač používat.

Na druhou stranu však Soudní dvůr (druhý senát) také uvedl (následně i rozhodl), že dynamická adresa internetového protokolu, kterou poskytovatel on-line mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele představuje osobní údaj ve smyslu článku 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, pokud má poskytovatel k dispozici právní prostředky, které mu umožňují nechat identifikovat subjekt údajů díky dalším informacím, kterými disponuje poskytovatel internetového připojení tohoto subjektu.

Dynamická IP adresa může být dle tohoto rozsudku, z 19. října 2016, za určitých okolností osobním údajem.

Dopad té skutečnosti, že IP adresa, jakožto i další síťové identifikátory mohou být osobním údajem, demonstrujeme na dvou příkladech.

Na následujícím obrázku je možné vidět komunikaci PC a jednotlivých prvků sítě (AP, DHCP server) a následné připojení PC do sítě.


Obrázek: DHCP

Pokud se důsledně zaměříme na data (informace), která mají vztah k subjektu údajů a jsou jej schopny identifikovat, pak osobním údajem v tomto případě nebude pouze IP adresa připojovacího prvku a IP adresa DHCP serveru.

Osobním údajem je teoreticky i čas daného požadavku, neboť se jedná o stopu, která může být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použita k identifikaci fyzické osoby.[13] Zároveň se jedná o velmi podstatnou informaci, neboť bez přesného času není možné identifikovat, komu (jakému počítačovému systému) byla přidělena konkrétní IP adresa.

Dalším příkladem zobrazujícím rozsah zpracovávání dat, která je možné považovat za osobní údaje, je zpracování osobních údajů při odeslání e-mailu prostřednictvím SMTP.


Obrázek: SMTP

Pokud se opět důsledně zaměříme na data (informace), která mají vztah k subjektu údajů a jsou schopna jej identifikovat, pak osobním údajem v tomto případě nebude pouze IP adresa serveru.

Pracovní e-mail podpory by mohl být opět osobním údajem, pokud k němu budou přiřazeny další identifikátory, které jsou schopné identifikovat fyzickou osobu.

Klíčovou otázkou je, zda jsme v rámci veškerých procesů, které se odehrávají v počítačových systémech (prvcích ICT), které jsou daným subjektem (fyzická či právnická osoba) spravovány, schopni rozlišit situaci, kdy dochází k přenosu dat čistě mezi počítačovými systémy, bez vztahu k jakékoliv fyzické osobě, a kdy už se do těchto procesů zapojí fyzická osoba jakožto subjekt údajů dle GDPR.

Domníváme se, že až na specifické výjimky nebudeme schopni vyčlenit procesy, které se odehrávají bez lidské interakce. Na základě tohoto tvrzení je následně třeba aplikovat požadavky vyplývající z GDPR na veškeré procesy, při nichž dochází k manipulaci s informacemi, které mají vztah k subjektu údajů a jsou jej schopny identifikovat. Zároveň bude třeba přijmout dostatečná bezpečnostní opatření, aby byla dostatečně chráněna jak přenosová soustava, počítačové systémy a aplikace, které s takovýmito informacemi pracují, tak informace (resp. data) samotná.

Vedle shora uvedených osobních údajů definuje GDPR zvláštní kategorie osobních údajů, mezi které patří údaje o:

  • rasovém či etnickém původu,
  • vyznání,
  • politických názorech,
  • členství v odborech či jiných organizacích,
  • sexuální orientaci,
  • spáchání deliktů (trestný čin/přestupek aj.) a potrestání za ně,
  • genetické údaje (DNA & RNA),
  • biometrické údaje,
  • údaje o zdravotním stavu.

6.2.3 Zpracování osobních údajů

Zpracováním osobních údajů se dle čl. 4 odst. 2 GDRP rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Ochrana subjektu údajů se vztahuje na zpracování osobních údajů, pokud jsou tyto údaje uloženy v evidenci nebo do ní mají být vloženy.[14]

Pojem zpracování dle GDPR však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.[15]

Ze zpracování osobních údajů dle GDPR je mimo jiné vyňata činnost prováděná fyzickou osobou v rámci čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností.[16]

V čl. 5 odst. 1 písm. a) GDPR jsou stanoveny zásady zpracování osobních údajů. Mezi tyto zásady dle GDPR patří:

  • zákonnost, korektnost, transparentnost [čl. 5 odst. 1 písm. a) GDPR] – správce osobních údajů je povinen:

·      informovat subjekt údajů o probíhající operaci zpracování a jejích účelech,

·      informovat subjekt údajů o profilování a o jeho důsledcích,

·      informovat subjekt údajů, pokud jsou osobní údaje získávány od něj, zda je povinen tyto údaje poskytnout, a o důsledcích jejich případného neposkytnutí,

·      prokázat existenci nejméně jednoho právního důvodů pro zpracování osobních údajů,

·      dokumentovat:

o   co, jak, proč zpracovává,

o   souhlas a zákonný důvod,

o   čas, po který zpracovává,

o   přijaté záruky a bezpečnostní opatření.

  • omezení účelu [čl. 5 odst. 1 písm. b) GDPR] – osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný,
  • minimalizace údajů [čl. 5 odst. 1 písm. c) GDPR] – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
  • přesnost [čl. 5 odst. 1 písm. d) GDPR] – osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny,
  • omezení uložení [čl. 5 odst. 1 písm. e) GDPR] – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost [čl. 5 odst. 1 písm. f) GDPR] – osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením technické a organizační zabezpečení osobních údajů.

6.2.4 Zabezpečení osobních údajů

Jednou z oblastí, které se GDPR explicitně věnuje, je i problematika zabezpečení zpracování osobních údajů.

V čl. 32 GDPR je uvedeno, že správce (případně zpracovatel) musí s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, přijmout vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

  • pseudonymizace a šifrování osobních údajů,
  • schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
  • schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  • procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.“[17]

Při určování rizika je třeba vycházet zejména z kategorie osobních údajů, které by mohly být porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko představují „citlivější“ osobní údaje (viz např. zvláštní kategorie osobních údajů), rozsáhlejší soubor osobních údajů, případně údaje, jimiž lze způsobit subjektu údajů újmu či zásah do jeho práv.

Dle čl. 32 odst. 4 GDPR přijmou správce a zpracovatel opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.


6.2.5 Posouzení vlivu na ochranu osobních údajů (DPIA)

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment DPIA) je nástrojem, který se využije v případě, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob. Jde o nástroj, který může správcům pomoci identifikovat případná rizika zpracování osobních údajů a zavedení vhodných opatření.

Posouzení vlivu na ochranu osobních údajů je třeba provést v případech:

  • systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad,
  • zpracování zvláštních kategorií osobních údajů (biometrických údajů, nebo údajů o odsouzení v trestních věcech a o trestných činech či souvisejících bezpečnostních opatřeních),
  • rozsáhlého systematického monitorování veřejně přístupných prostor,
  • jakýchkoliv jiných operací, kdy má příslušný dozorový úřad za to, že je pravděpodobné, že zpracování bude představovat vysoké riziko pro práva a svobody subjektů údajů.

Obsahem posouzení vlivu na ochranu osobních údajů by měl být:

  • popis zamýšlených operací zpracování,
  • posouzení nezbytnosti a přiměřenosti operací z hlediska účelu (test proporcionality),
  • posouzení rizik pro práva a svobody subjektů,
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření aj.

Vlastní nařízení GDPR obsahuje i další instituty (např. pseudonymizace, požadavky na výmaz či přenositelnost osobních údajů aj.), které se mohou vztahovat k činnosti, jež je prováděna v rámci informačních a komunikačních systémů, a které vyžadují náležitou úroveň zabezpečení a ochrany.

Podstatné je identifikovat vliv (dopad) GDPR na organizaci, na její jednotlivé části a procesy. De facto jde o provedení auditu, kde všude v organizaci, případně u jednotlivce se pracuje s osobními údaji ve vztahu ke GDPR. Následně postup spočívá v modifikaci či tvorbě pravidel a procesů (pokud je to třeba) jak uvnitř organizace, tak ve vztahu k subjektu údajů. Veškerá tato činnost by současně měla respektovat základní principy bezpečnosti.

Stejně jako při zavádění bezpečnostních pravidel obecně, tak při implementaci GDPR či jiných dokumentů a doporučení je třeba si uvědomit, že neexistuje jedno pravidlo, vzor, nástroj, řešení či postup aplikovatelný pro každou organizaci a každou situaci či každou organizaci.

Je třeba přijmout a implementovat vlastní řešení v souladu s GDPR.

Je třeba individualizovat…



[2] ŠKORNIČKOVÁ, Eva. Jednoduchý test: Jak jste na tom s přípravou na GDPR? [online]. [cit. 10. 11. 2017]. Dostupné z: https://www.gdpr.cz/blog/jednoduchy-test-jak-jste-na-tom-s-pripravou-na-gdpr/

[3] Srov. recitál 6 GDPR

[4] EULA (End Users Licence Agreement) je označení pro smluvní podmínky, umožňující využití služby daného poskytovatele služby. EULA představuje smlouvu, která je zpravidla jednostranně vymezena poskytovatelem služby. Uživatel však není nikterak omezován na svých právech, neboť má možnost volby v podobě nevyužití takto jednostranně stanovených smluvních podmínek. V případě souhlasu s využíváním takovýchto služeb je možné obecně konstatovat, že dojde primárně k aplikaci soukromoprávních norem.

Otázkou je, zda si uživatel skutečně uvědomuje, jaké smluvní podmínky odsouhlasil, kdy se pro něj stávají závaznými a jaký možný (legální) zásah do jeho základních lidských práv a svobod takto vyslovený souhlas představuje. Další neopomenutelnou skutečností pak je, že takto poskytovaná služba může ovlivnit práva a oprávněné zájmy (např. bezpečnost IT, důvěryhodnost dat aj.) třetích osob (např. zaměstnavatele aj.), které k využívání předmětné služby explicitně souhlas nevyjádřily.

Smutným faktem zůstává ta skutečnost, že velmi malé procento uživatelů je ochotno číst smluvní podmínky, vztahující se k té které poskytované službě.

[5] SLA (Service-Level Agreement) označuje smlouvu sjednanou mezi poskytovatelem služby a jejím uživatelem.

[6] Tuto interakci je možné sledovat při využívání polohových a geolokačních služeb (např. Google Maps, Waze, Seznam mapy aj.), neboť fyzická osoba předpokládá, že ji bude počítačový systém schopen lokalizovat a zobrazit jí nejvýhodnější cestu. Stejně tak je ona interakce očekávána např. u služeb umožňujících prodej a nákup zboží (např. Letgo – viz doporučené inzeráty dle geolokace či již nakoupeného zboží), restauračních a ubytovacích službách (např. Tripadvisor, Booking.com, Airbnb aj.) aj.

[7] Blíže viz KOLOUCH, Jan. CyberCrime. Praha: CZ.NIC, 2016, s. 78 a násl. a s. 109 a násl.

[8] Viz Čl. 3 GDPR – Místní působnost

[9] Subjektem údajů je dle čl. 4 odst. 1 GDPR identifikovaná nebo identifikovatelná fyzická osoba. Subjekt může být identifikován:

§  přímo,

§  nepřímo (např. výběr vyčleněním aj.).

[10] Recitály jsou ustanovení předcházející vlastnímu textu nařízení GDPR a jsou v některých případech výkladem či do jisté míry důvodovou zprávou k vlastnímu textu nařízení.

[12] K vlastnímu pojmu ISP, právům a povinnostem jednotlivých ISP viz blíže např. KOLOUCH, Jan. CyberCrime. Praha: CZ.NIC, 2016, s. 78 a násl. a s. 109 a násl.

[13] Blíže viz recitál 30 GDPR

[14] Viz recitál 15 GDPR

[15] Blíže viz Základní příručka k GDPR. [online]. [cit. 7. 8. 2018]. Dostupné z:  https://www.uoou.cz/zakladni%2Dprirucka%2Dk%2Dgdpr/ds-4744/archiv=0&p1=3938

[16] Viz recitál 15 GDPR

[17] Čl. 32 odst. 2 GDPR