Celý název je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).
Obecné nařízení, které sjednocuje pravidla pro zpracování
osobních údajů ve všech státech Evropské unie (a Islandu, Norska a
Lichtenštejnska). Důvodem pro vznik tohoto nařízení byl posun ve
zpracování osobních údajů, při kterém se dnes využívá daleko
komplexnějších metod a dokonalejší techniky než dříve (např.
sledování pohybu osob pomocí GPS aplikací nebo čipových karet,
kamery, které rozpoznají detaily obličeje). GDPR především posiluje
práva a ochranu osobních údajů občanů.
Právní úprava ochrany osobních údajů není v našich podmínkách
novinkou. Zákon č. 101/2000 Sb., zákon o ochraně osobních údajů a o
změně některých zákonů používal obdobnou terminologii a stanovil
obdobná práva a povinnosti. GDPR podrobněji upravuje a rozšiřuje
práva fyzických osob, jejichž údaje jsou zpracovávány a přidává
některé povinnosti správcům a zpracovatelům osobních údajů, tj.
subjektům, které pracují s osobními údaji (právnické osoby i OSVČ).
Významně také zvyšuje sankce, v původním zákoně byla maximální výše
10 000 000 Kč (nebyla nikdy udělena), nově to je až 20 000 000 EUR
nebo 4 % celosvětového ročního obratu.
K novinkám v ochraně osobních údajů patří právo na přenositelnost údajů. Toto právo posiluje postavení zákazníků. Fyzická osoba (typicky zákazník) má právo získat své osobní údaje, správce má povinnost tyto údaje předat novému správci (zpravidla konkurenci).
Novou povinností správců je ohlašování případů úniku
či ohrožení zabezpečení osobních údajů dozorovému úřadu (ÚOOÚ – Úřad
pro ochranu osobních údajů) a dotčeným fyzickým osobám nejpozději do
72 hodin od okamžiku, kdy se o incidentu dověděli.
Nařízení vysloveně požaduje vést písemné záznamy o činnostech
zpracování. Tato povinnost se nevztahuje na malé a střední
podniky s méně než 250 zaměstnanci, pokud zpracování nepředstavuje
riziko pro práva a svobody fyzických osob a/nebo se nezpracovávají
citlivé údaje.
Pokud zpracování osobních údajů bude mít za následek vysoké riziko
pro právo a svobody fyzických osob, nově bude muset správce před
zpracováním posoudit vliv zpracování na ochranu osobních údajů.
K vysoce rizikovým operacím patří použití nových technologií,
automatické, systematické zpracovávání a hodnocení osobních údajů
(např. behaviorální reklama), velkokapacitní monitorování veřejného
prostoru (např. kamerový systém), velkokapacitní zpracovávání
citlivých údajů. Úřad pro ochranu osobních údajů sestaví seznam
operací, které podléhají posouzení vlivu.
Novou povinností je také jmenování pověřence pro ochranu
osobních údajů. Tato povinnost nastává, pokud hlavní činnosti
správce nebo zpracovatele spočívají v operacích zpracování, které
vyžadují rozsáhlé, pravidelné a systematické monitorování osob nebo
v rozsáhlém zpracovávání zvláštních kategorií údajů. Příkladem může
být zpracovávání údajů o pacientech v nemocnici nebo zpracovávání
údajů zákazníků bankou.
Nařízení se vztahuje na všechny, kdo jakkoliv zpracovávají osobní údaje (včetně OSVČ), nejsou přípustné výjimky. Správcem osobních údajů, je každý, kdo získává údaje o fyzických osobách. To zahrnuje veškeré osobní údaje, v jakékoliv podobě (elektronické i papírové), které jsou shromažďovány a zpracovávány, např. jméno, pohlaví, datum narození, adresa, telefonní číslo, email, atd. Nerozhoduje, zda správci povinnost zpracovávat údaje vyplývá z legislativy (např. mzdová a personální agenda) nebo je zpracovává pro vlastní potřebu (smlouvy o koupi zboží nebo služeb, reklama).
Vzhledem ke stále častějším krádežím a únikům dat, lze zpřesnění a zpřísnění pravidel ochrany osobních údajů vnímat pozitivně. Společnosti
Není stanovený závazný postup, jak požadavky
nařízení GDPR v organizacích zpracovat a zavést do praxe. Nabízíme
vlastní osvědčený postup zahrnující:
1) seznámení s požadavky nařízení GDPR formou školení
2) provedení analýzy, jaké osobní údaje se ve společnosti
zpracovávají a jakým způsobem se s nimi pracuje
3) návrh úpravy vnitřních norem a procesů společnosti k zajištění
ochrany osobních údajů a školení zaměstnanců na základě provedené
analýzy
4) provedení interního auditu k ověření funkčnosti stanovených
postupů v praxi
U společností s certifikovaným systémem managementu (QMS, EMS,
OHSAS, atd.) využijeme při návrhu potřebných změn v maximální možné
míře již existující postupy a dokumentaci.
Vaše dotazy rádi zodpovíme - kontaktujte nás.