Pojednání o GDPR

GDPR

Obecné nařízení o ochraně osobních údajů se prakticky dotkne všech, ať korporací, či jednotlivců, kteří mají v dikci zpracování osobních údajů, a to jak u svých zákazníků, zaměstnanců, nebo business klientů. Pro bližší introspekci hovoříme o bankovních domech, zdravotnických zařízeních, veřejné správě, nebo například i e-shopech.

Všichni výše zmínění se budou muset od 25.5. 2018 připravit na převratné novinky v přístupu o ochraně osobních údajů, což obnáší jednak rozsáhlou revizi již získaných souhlasů, ale i následná technologická a regulatorní opatření pro zajištění funkční kompatibility v souladu s novým nařízením. Dlouhé vyčkávání může jednotlivé podniky přijít velmi draho díky velmi tučným pokutám.

Obecné nařízení EU, které rozšiřuje ochranu osobních údajů bude nutné dodržovat nejpozději k 25.5.2018 Do této doby a i v přechodné době do roku 2018 budou společnosti v česku vázané legendárním zákonem o ochraně osobních údajů. Nejdůležitější povinností podnikatelů je aktuálně především stanovení účelu zpracování  a také kompletní revizi již udělených souhlasů.

Důvody aktualizace současného stavu

Současná legislativa EU z roku 1995, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například sociální sítě či cloudová úložiště. GDPR začne být v celé EU účinné od května 2018. Protože byla nová pravidla přijata formou „nařízení“, budou platit ve všech státech EU jednotně a konzistentně. Nařízení s sebou přinese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzivnější spolupráci dozorových orgánů. Pokuty mohou být pro české firmy až likvidační – dosahují i 20 milionům eur, případně až čtyř procent celosvětového obratu.
Změny platí také pro podobu smluv s externími firmami, protože evropská unie nově stanovuje určité oobsahové náležitosti, které bude nutné do nových, ale i současných kontraktů zohlednit.

Ty nejdůležitější změny na které je třeba se připravit

Cookies: Údaje o provozovatelích internetových prohlížečů, budou nově považovány za osobní údaje k jejich využívání bude třeba souhlas dotčené osoby
Revize: souhlasů i smluv se společnostmi, které za podnikatele data zpracovávají
Přesuny osobních údajů k jinému správci a na právo zákazníka být zapomenut
Hlášení: v případě úniku osobních údajů hlásit Úřadu pro ochranu osobních údajů.

Koho se nařízení týká

  1. Nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování osobních údajů které jsou obsaženy v evidenci.
  2. Z hlediska místní působnosti se nové nařízení vztahuje na zpracování osobních údajů  v souvislosti s činnostmi provozovny správce, nebo zpracovatele v Unii a to bez ohledu na to, zda-li zpracování probíhá v Unii, či mimo ni.

Správce

  • Fyzická osoba, právnická osoba, orgán veřejné moci, který sám určuje účely a prostředky zpracování osobních údajů:

  • Před samotným zpracováním osobních údajů je správce povinen provést Posouzení dopadu na ochranu osobních údajů

  • Povinnost vést záznamy o všech zpracováních, za které nese správce zodpovědnost (Nařízení počítá s výjimkami z povinnosti vést dokumentaci zpracování pro podniky s méně než 250 zaměstnanci. Nicméně i malé podniky mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování. Proto je výjimka omezena pouze na taková zpracování, která nelze kvalifikovat jako riziková

  • Povinnost hlásit místně příslušnému dozorovému orgánu únik osobních údajů a to ve lhůtě maximálně 72 hodin

Zpracovatel

  • Fyzická osoba, právnická osoba, orgán veřejné moci, který zpracovává osobní údaje pro správce

Příjemce

  • Fyzická osoba, právnická osoba, orgán veřejné moci, nebo další subjekt, kterému jsou osobní údaje poskytnuty.

Pověřenec

Pověřence pro ochranu osobních údajů musí správce nebo zpracovatel jmenovat v každém z těchto případů:

a) zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů jednajících v rámci svých soudních pravomocí);

b) hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů;

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo

d) vyžaduje-li to právo EU nebo členského státu.

osoba vykonávající úkoly pověřence může být ve vztahu ke správci nebo zpracovateli údajů buď přímo jejich zaměstnancem, anebo může plnit své úkoly jako externista na základě smlouvy o poskytování služeb. Nařízení dovoluje, aby jedna osoba zastávala funkci pověřence pro skupinu podniků anebo několik orgánů veřejné moci, což představuje velkou výhodu a možnost snížení nákladů na straně správců nebo zpracovatelů. U skupiny podniků lze jmenovat jediného pověřence pouze za podmínky, že je snadno dosažitelný z každého podniku. V případě společného pověřence pro více orgánů veřejné moci to zase musí umožňovat jejich organizační struktura a velikost


Úkoly pověřence

  • poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech v oblasti ochrany údajů;
  • monitorování souladu zpracování údajů s tímto nařízením, dalšími předpisy EU nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně školení pracovníků zapojených do operací zpracování a souvisejících auditů;
  • poskytování poradenství při posouzení vlivu zpracování na ochranu osobních údajů;

  • spolupráce s dozorovým úřadem; a

  • působení jako kontaktní místo pro dozorový úřad.

Co se změní?

Nařízení GDPR přináší řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu tím velká administrativní zátěž, bude například povinen dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

  • Právo být zapomenut (Right to be forgotten)

  • Snazší přístup k datům (Easier access to one’s data)

  • Právo na přenositelnost dat (Right to data portability)

  • Informovanost v případě bezpečnostního incidentu (The right to know when one’s data has been hacked)

  • Ochrana dat jako základní požadavek na design a výchozí stav (Security by design and by default)

  • Snazší vymahatelnost práva (Stronger enforcement of the rules)

Zpracování osobních údajů

je nutné zpracovávat pouze v rozsahu nezbytně nutném, dále je třeba aby subjekt udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních údajů a to je jeden ze styčných problémů našich potencionálních klientů.

Subjekt:

  • Má právo souhlas kdykoliv odvolat a jeho osobní údaje musí být vymazány z databáze.

  • Právo subjektu na přístup k osobním údajům (informace ohledně účelu zpracování, kategorie dotčených osobních údajů)

  • Právo na to být zapomenut

S GDPR dochází také k rozšíření pojmu „osobní údaj“, který bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie. Nově je zavedena klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim. Rozsáhlé změny nastanou také v oblasti pojetí souhlasu ke zpracování osobních údajů. Naprostou novinkou pak bude tzv. právo být zapomenut, kdy může každý požadovat, aby byly bez zbytečného odkladu vymazány jeho osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování. 
„Podniky budou mít rovněž oznamovací povinnost v případě porušení zabezpečení osobních údajů, kdy budou muset takovou skutečnost ohlásit Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od zjištění incidentu

Předávání osobních údajů do třetích zemí mezinárodním organizacím

K jakémukoliv předání osobních údajů které jsou předmětem zpracování, nebo jsou určeny ke zpracování do třetí země, může dojít pouze tehdy, splní-li se stanovené podmínky.

  • Jestliže Komise rozhodla že tato třetí země zajišťují odpovídající úroveň ochrany- tehdy není pro převod nutné žádné zvláštní povolení.

  • V rámci posuzování úrovně ochrany bere Komise v potaz tyto prvky: Právní stát, dodržování lidských práv a základních svobod, příslušné právní předpisy, pravidla ochrany údajů atd.

Komise po posouzení odpovídající úrovně ochrany prostřednictvím prováděcího aktu rozhodne, že určitá třetí země zajišťuje odpovídající úroveň ochrany a dále průběžně sleduje aktuální vývoj v dané zemi.

Sankce v případě nedodržení podmínek stanovených regulátorem

V případě porušení/nedodržení povinností nebo odmítnutím spolupráce se státním kontrolním orgánem, se zpracovatel dat vystavuje sankci až do hodnoty 20 mil. EUR případně do 4% celosvětového ročního obratu společnosti. Sankci je samozřejmě možné uložit opakovaně.