středa 10. ledna 2018

GDPR – nová pravidla ochrany osobních údajů

Nařízení (EU) 2016/679 (GDPR) stanoví nová pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla týkající se volného pohybu osobních údajů (dále jen „GDPR“).

Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů při zachování volného pohybu osobních údajů. Toto nařízení se vztahuje automatizované a neautomatické zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Toto nařízení se vztahuje také na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU bez ohledu na to, zda zpracování probíhá v EU či mimo ni.

Toto nařízení se naopak nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností, jako je korespondence a vedení adresářů nebo využívání sociálních sítí a internetu. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů.

GDPR představuje jednotný právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů EU a reaguje na nové výzvy dané technologickým rozvojem a globalizací, kdy rozsah shromažďování a sdílení osobních údajů významně vzrostl. GDPR vstoupí v účinnost v celé EU ke dni 25. května 2018 a v podstatné části nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“), který bude rovněž novelizován. Je nutné připomenout, že Nařízení (EU) 2016/679 (GDPR) je přímo závazné pro území České republiky dnem nabytí jeho účinnosti, tj. dnem 25. května 2018.

GDPR klade velký důraz na vymahatelnost práv fyzických osob a na povinností správců (zpracovatelů) odpovědných za zpracování dat. Obsahuje velmi podrobná pravidla pro různé kategorie údajů a způsoby jejich zpracování. Současně vyžaduje od správců a zpracovatelů výrazně aktivnější přístup, např. posoudit před zahájením nového zpracování vliv na ochranu osobních údajů a zvolit vhodné nástroje ochrany údajů. Za určitých podmínek se vyžaduje předběžná konzultaci u dozorového úřadu.

Někteří správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobně jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

GDPR se vyznačuje novými přístupy, na kterých je ochrana osobních údajů založena. Jedná se zejména o princip odpovědnosti správce a o přístup založený na riziku.

Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování osobních údajů podle GDPR, přičemž správce musí být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování. Přístup založený na riziku znamená, že správce již od počátku musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.

Každý správce a zpracovatel je povinen zabezpečit osobní údaje bez ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese.

Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.

Každého mikrokopodniku, malého a středního podniku (dále jen „malý a střední podnik“) se GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i jeho přípravy na splnění povinností podle GDPR. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti.

Každý malý a střední podnik by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami GDPR (např. pokud správce aktuálně využívá souhlas se zpracováním osobních údajů, měl by provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti GDPR).

V dalších příspěvcích bude malým a středním podnikům předložen ucelený soubor informací k problematice GDPR, obsahující všechny důležité informace a návod, jak se na GDPR připravit, zejména jak provést analýzu stávající situace a jaká vhodná opatření přijmout k dosažení plné slučitelnosti se zásadami zpracování osobních údajů podle GDPR.

Nařízení (EU) 2016/679 (General Data Protection Regulation) tedy nabude účinnosti již 25. května 2018 a představuje jednotný právní rámec ochrany osobních údajů platný na celém území EU. Základní orientaci v GDPR, a rozcestník pro další informace, najdete zde:

Ochrana údajů – lepší pravidla pro malé podniky, Evropská komise, 2017 http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_cs.htm

Žádné komentáře:

Okomentovat