Jste připraveni na nové Obecné nařízení o ochraně osobních údajů?
Co je to GDPR?
GDPR je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - v povědomí více zavedené General Data Protection Regulation (GDPR) neboli Obecné nařízení o ochraně osobních údajů, které 25. května 2018 rovněž nahradí stávající český zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním cílem GDPR je sjednocení a zvýšení úrovně ochrany osobních údajů občanů i spotřebitelů (fyzických osob) a vymezení pravidel volného pohybu těchto údajů napříč EU. Příslušná legislativa spadá do gesce Ministerstva vnitra ČR. Kontrolní funkcí byl pověřen Úřad pro ochranu osobních údajů.
Koho se GDPR týká?
GDPR se týká všech subjektů, které provádí zpracování osobních údajů, a které spadají do působnosti práva EU. Má vliv na všechny oblasti podnikání, zdravotnictví i veřejnou správu. Zkrátka, kde jsou nějaké osobní údaje, je třeba počítat i s GDPR.
Existují nějaké výjimky?
Dle článku 2 odst. 2 písm. Nařízení - se nařízení nevztahuje na zpracování údajů prováděné:
- při výkonu činností, které nespadají do oblasti působnosti práva Unie;
- členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
- fyzickou osobou v průběhu výlučně osobních či domácích činností;
- příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
Jaké jsou povinnosti správců a zpracovatelů osobních údajů?
Mezi základní povinnosti správců a zpracovatelů osobních údajů patří:
- Povinnost provádět posouzení dopadu na ochranu osobních údajů - systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod, posouzení nezbytnosti takového zpracování vzhledem k jeho stanovenému účelu.
- Předchozí konzultace - povinnost zpracování osobních údajů konzultovat s dozorovým orgánem, pokud z předchozího posouzení dopadu vyplynulo, že se jedná o zpracování vysoce rizikové.
- Povinnost vést záznamy o zpracováních osobních údajů, za něž subjekt odpovídá - nařízení vymezuje údaje, které musí být součástí příslušné dokumentace (jméno a kontaktní údaje správce, účely zpracování, informace o případném předání osobních údajů aj.). Existuje výjimka pro podniky nebo organizace zaměstnávající méně než 250 osob, která však platí pouze na zpracování, která nelze kvalifikovat jako riziková. Je tedy vysoce pravděpodobné, že tato povinnost se bude týkat i menších podniků a organizací, neboť i tyto podniky mohou zpracovávat velký objem dat a provádět rizikové zpracování.
- Povinnosti zajistit odpovídající zabezpečení osobních údajů - výběr vhodných technických a organizačních opatření, aby byla zajištěna dostatečná úroveň zabezpečení odpovídající danému riziku.
- Povinnost ohlašovat bezpečnostní incidenty - v případě vysokého rizika pro práva a svobody fyzických osob, platí povinnost oznamovat (do 72 hodin) bezpečnostní incidenty jak dozorovému orgánu, tak i dotčeným subjektům.
- Povinnost jmenovat pověřence pro ochranu osobních údajů - jeho úkolem je dohlížet nad dodržováním nařízení, poskytovat informace a sloužit jako kontakt pro jednání s dozorovým orgánem. Pověřenec by měl disponovat dostatečnými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany osobních údajů.
Co hrozí v případě nedodržení GDPR nařízení?
V případě nedodržení pravidel zpracování osobních dat dle GDPR mohou sankce dosáhnout výše až 4 % z celkového obratu společnosti nebo až 20 miliónů EUR. GDPR tedy nelze brát na lehkou váhu. Brod již není tak daleko a možná právě nyní nastal ten správný čas, kdy začít stahovat kalhoty.
GDPR - kde je tedy zakopaný pes?
Dříve správci nebo zpracovateli osobních údajů stačil jednoduchý podepsaný či potvrzený souhlas dotyčné fyzické osoby (a samozřejmě postup v souladu s příslušným zákonem o ochraně osobních údajů). Nyní bude navíc muset plnit další, výše uvedené povinnosti. Pes je zakopaný v tom, že se nejedná jenom o důkladné zabezpečení osobních údajů, ale také o povinnost vést záznamy o zpracování těchto údajů. Tedy být schopen kdykoli doložit jejich historii. Pro ilustraci např. „Kdo je zapsal? Kdy? Kam? Kdo k nim měl přístup? K čemu byly využívány? Jak často byly využívány?“ Příkladů lze uvést mnoho.
Dobře, ale jak z toho ven?
V dnešní době máme naštěstí k dispozici certifikované nástroje a řešení, které nám ušetří nejen čas, ale i mnoho případných nepříjemností. Pomocná ruka je často blíže, než si myslíte. Najdete ji např. v článku: Jak se vypořádat s GDPR