Nařízení ve svých úvodních ustanoveních vymezuje základní zásady ochrany osobních údajů. Znalost těchto zásad a jejich aplikace v rámci procesů zpracování osobních údajů bude základním stavebním kamenem práce s osobními údaji v každé firmě.
Poradenství v oblasti aplikace GDPR
Nové Nařízení EU o ochraně osobních údajů (tzv. GDPR neboli General Data Protection Regulation) je označováno za revoluční změnu na poli ochrany osobních údajů. Často je zmiňováno v souvislosti s astronomickými pokutami či povinností mít pověřence pro ochranu osobních údajů. Bylo přijato v květnu 2016 a vstoupí v účinnost dne 25. května 2018. Bude přímo použitelné a závazné ve všech členských státech EU.
Chcete se dozvědět, co znamená GDPR pro vaši firmu? Rozlišit fámy od pravdivých informací? Připravit se na účinnost nařízení EU tak, aby vás v květnu nic nepřekvapilo? Přinášíme vám souhrn základních informací o GDPR:
Základní zásady ochrany osobních údajů
Za porušení těchto základních zásad půjde udělit pokuty ve vyšší sazbě, tj. až 20 mil. EUR u fyzických osob, případně 4 % z ročního obratu u právnických osob. Dnes firmám hrozí maximální sankce ve výši 10 milionů korun.
Zákonný důvod pro zpracování
Pro zpracování osobních údajů musí mít správce zákonný důvod. V praxi jím nejčastěji bude souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů. Správce musí být schopen doložit, že subjekt údajů souhlas se zpracováním svých osobních údajů udělil.
Práva subjektů údajů
Nařízení má za cíl především ochránit soukromí jedinců – tedy takzvaných subjektů údajů. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Pokud tomu tak je, má právo získat přístup k těmto osobním údajům a k dalším relevantním informacím. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje. Dále také, aby správce vymazal osobní údaje, které se daného subjektu údajů týkají – tzv. právo být zapomenut.
Subjekt údajů má též právo na omezení zpracování svých osobních údajů, ve specifikovaných případech. Významným právem, které nařízení zavádí, je právo na přenositelnost údajů. Tj. právo získat osobní údaje a předat je jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.
Pověřenec pro ochranu osobních údajů
Zavádí se nový institut tzv. pověřence pro ochranu osobních údajů (zkratka DPO z anglického Data Protection Officer). Správci a zpracovatelé budou muset jmenovat pověřence zejména v případě, kdy hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, rozsahu nebo účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. Pověřenec může být zaměstnancem správce nebo zpracovatele, případně může být tato funkce poskytována externě na základě smlouvy o poskytnutí služeb.
Povinnosti správců a zpracovatelů
Nařízení vymezuje povinnosti správců a zpracovatelů. Text nařízení je i zde velmi neurčitý. Stanoví, že správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s nařízením. Nově se zavádí povinnost vést záznamy o činnostech zpracování, povinnost tzv. pseudonymizace a šifrování a mnohé další.
Posouzení vlivu na ochranu osobních údajů a předchozí konzultace
Zavádí se také nový institut tzv. posouzení vlivu na ochranu osobních údajů a na něj navazující předchozí konzultace s dozorovým orgánem. Posouzení vlivu nebudou povinně provádět všichni zpracovatelé, ale pouze ti, u nichž je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Co z toho všeho plyne?
Vysoce nastavené pokuty a požadavek nařízení, aby ukládané pokuty byly dostatečně účinné a odrazující, naznačují, že prohřešky proti nařízení mohou být trestány velmi přísně. Neodborný nebo liknavý přístup k ochraně osobních údajů by se tak mohl povinným subjektům značně nevyplatit. Pokud se však podnikatelé řádně a včas na přechod do nového právního režimu připraví, měli by vše zvládnout bez větších problémů.