Obecné nařízení o ochraně osobních údajů (GDPR)
Dne 27. dubna 2016 bylo schváleno nové nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „nařízení GDPR“). Nařízení GDPR zavádí zcela novou úroveň ochrany osobních údajů a přináší významné změny v oblasti nakládání s osobními údaji, které se zásadním způsobem dotknou většiny podnikatelů.
Nařízení bude účinné a vymahatelné již od 25. 5. 2018, a to bez jakékoli transpozice do českého právního řádu.
Problematiku ochrany osobních údajů dlouhodobě sledujeme. Jsme rovněž zastoupeni naším kolegou Tomášem Mudrou v pracovní skupině Úřadu vlády ČR k legislativě v oblasti ochrany osobních údajů.
Ve firmách našich klientů analyzujeme jejich stávající stav a zavádíme u nich nový systém. Při tom úzce spolupracujeme s naším IT partnerem, společností SIMAC TECHNIK ČR, a.s.
Co zásadního tedy přináší obecné nařízení o ochraně osobních údajů?
Protection by design neboli záměrná ochrana osobních údajů
Nařízením GDPR se jako červená nit táhne požadavek na zohlednění ochrany osobních údajů v průběhu všech relevantních činností správce osobních údajů, a to již od okamžiku určení prostředků zpracování. Nařízení GDPR předpokládá nejen, že systém ochrany osobních údajů bude standardně a systematicky zaváděn od prvotních úvah o novém projektu ale též, že tento systém bude pravidelně vyhodnocován a aktualizován s ohledem na vývoj technických prostředků a stále nových hrozeb. Princip záměrné ochrany osobních údajů se zároveň stane významným interpretačním pravidlem pro celé nařízení GDPR.
Posouzení vlivu na ochranu osobních údajů
Nařízení GDPR ruší dosavadní ohlašovací povinnost příslušnému dozorovému úřadu v okamžiku, kdy dochází k novému zpracovávání osobních údajů, a nahrazuje jej interní analýzou posouzení vlivu zaváděných procesů na ochranu a bezpečnost zpracovávaných osobních údajů. Až v okamžiku, kdy tato analýza potvrdí vysoké riziko, je správce povinen kontaktovat dozorový úřad. Posouzení vlivu na ochranu osobních údajů má však svá závazná pravidla a silně se do něj promítá výše zmíněný princip záměrné ochrany osobních údajů.
Přísné pokuty za porušení nařízení
Nařízení GDPR výrazně navyšuje výši pokut za porušení ochrany osobních údajů a to až do desítek milionů EUR. Nově mohou být pokuty uloženy do výše 20.000.000,- EUR, anebo dokonce i vyšší, a to až do 4% celosvětového obratu správce osobních údajů (pokud je tato částka vyšší než 20.000.000,- EUR). Upozorňujeme, že v českém prostředí dozorový úřad zároveň získává přímo z nařízení GDPR i nová kontrolní oprávnění, která nejsou doposud zakotvena v českých správních předpisech.
Záznamy o činnostech zpracování
Nařízení GDPR zvyšuje nároky na systematické zaznamenávání prováděných operací s osobními údaji. Každý správce, až na uvedené výjimky, je povinen vést záznamy o zpracování, jejichž obsah je vymezen nařízením. Obecně je třeba očekávat významný nárůst povinné dokumentace související se zpracováváním osobních údajů.
Povinnost oznámit porušení zabezpečení osobních údajů
Nově se v mnoha případech ukládá správci ohlásit porušení zabezpečení osobních údajů (tzv. „data leaks“) přímo subjektům údajů, včetně podání dalších informací o takovém úniku. Vždy je zároveň třeba o porušení zabezpečení osobních údajů bezodkladně informovat dozorový úřad a poskytnout mu k porušení zabezpečení informace dle nařízení GDPR.
Pověřenec pro ochranu osobních údajů (DPO)
Zavádí se v českém prostředí zcela nový institut „interního auditora“ ochrany osobních údajů. Správce jej musí povinně ustanovit, pokud v rámci nakládání s osobními údaji v dané společnosti dochází k rozsáhlému, pravidelnému a systematickému monitorování fyzických osob nebo jeho hlavní činností je rozsáhlé zpracovávání zvláštních kategorií osobních údajů. Může se jednat o zaměstnance přímo podřízeného vrcholovému managementu nebo o externistu. Ačkoli podoba smluvního vztahu mezi společností a jejím pověřencem (DPO) je ponechána na vůli stran, povinnosti i práva pověřence (DPO) jsou konkrétně vymezena nařízením GDPR.
Právo na přenositelnost údajů
Subjekt údajů má nově právo získat bezplatně ve strojově čitelné podobě od správce své osobní údaje, popř. požadovat předání takových osobních údajů přímo jinému správci. Toto právo se potenciálně dostává do konfliktu s právem autorským (zejména ochrana databází) ale v mnoha případech i s obchodním tajemstvím (např. marketingové analýzy, analýzy bonity). Proto je důležité znát přesné hranice tohoto práva a přizpůsobit jeho realizaci konkrétním podmínkám ve Vaší společnosti, s čímž Vám rádi pomůžeme.
Novou úpravu předávání osobních údajů do třetích zemí
Nařízení GDPR se pokouší o další úpravu již dnes velmi problematického předávání osobních údajů mimo země EU, k čemuž zavádí i některé nové nástroje.
