TOP

Evropské nařízení GDPR

Co je GDPR?

Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová legislativa EU, která výrazně zvýší ochranu osobních dat občanů.

GDPR je dosud nejucelenějším souborem pravidel na ochranu dat na světě.

Nařízení bylo přijato v roce 2016 a účinnosti nabude 25. května 2018. Přináší největší revoluci v ochraně osobních údajů s cílem hájit práva občanů EU proti neoprávněnému zacházení s jejich osobními údaji a daty. GDPR se týká všech subjektů zpracovávajících osobní údaje.

Záměrem bylo dát občanovi větší kontrolu nad tím, jak je s jeho osobními údaji nakládáno a co se s nimi děje. Z tohoto důvodu přichází GDPR až s astronomickými pokutami za porušování pravidel daných evropským nařízením. Nařizuje také větším zpracovatelům dat zřídit nezávislou kontrolní funkci tzv. DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Jeho úkolem je dohlížet na řádné zacházení s osobními daty a hlásit kontrolnímu orgánu daného státu úniky dat a porušení nařízení.

Aplikace nařízení na území ČR

Evropské nařízení míří do všech segmentů businessu, kde se zpracovávají osobní data. Může se jednat o data: zaměstnanců, dodavatelů, klientů a dalších subjektů. Cílem GDPR je chránit digitální práva občanů EU.

GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

To, že GPDR bylo přijato formou evropského nařízení, zamezuje vládě a státním zákonodárcům jakkoliv ohýbat či přizpůsobovat toto nařízení v rámci jednoho státu.

Období od dubna 2016 do května 2018 je určeno k přípravě na toto nařízení. Během této doby musí všechny organizace, kterých se nařízení GDPR týká, zrevidovat své informační systémy a postupy zpracování osobních dat.

Regulátorem pro Českou republiku bude nadále Úřad pro ochranu osobních údajů (ÚOOÚ). Bude však částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Pokud by nastalo jakékoliv pochybení na straně českého regulátora, je možné obrátit se na EDPB s odvoláním.

Jaké změny přinese GDPR?

Jednoznačně s sebou přinese vymahatelnost práva v celé EU a mnohem užší spolupráci dozorových orgánů jednotlivých států.

GDPR zavádí celou řadu nových pravidel. Hlavním faktorem je, že správce i zpracovatel budou povinni prokazatelně doložit dodržování nařízení GDPR po celou dobu zpracování osobních údajů.

Některá zaváděná pravidla jsou již známá z předešlých právních úprav. Zavádí však i nové povinnosti, mj. pro zpracovatele údajů, kteří byli dosud kryti subjektem správce údajů.

GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.

Každý by měl mít v ideálním případě přístup k údajům, které jsou o něm shromažďovány nejlépe napřímo a online. Novým prvkem je tzv. právo na výmaz a jeho rozšíření na právo být zapomenut.

S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookies v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.

Největším strašákem se zdá být oznamovací povinnost v případě úniku či narušení bezpečnosti osobních údajů. V této situaci je subjekt povinen do 72 hodin ohlásit tuto událost ÚOOÚ. V některých případech bude nutné oznámit tento incident také osobám (subjektům), kterých se únik týkal.

Co je dle GDPR osobní údaj?

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

GDPR se také věnuje zvláštním kategoriím, a to např.: údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově spadají genetické, biometrické údaje a osobní údaje dětí. Ty poté podléhají mnohem přísnějším pravidlům.

Jaké povinnosti ukládá GDPR organizacím?

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Tento princip s sebou nese další nemalé časové a finanční investice. Zejména se budou týkat následujících oblastí:

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA (Data Protection Impact Assessment)
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů
  • vedení záznamů o činnostech zpracování
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

DPIA budou společnosti či instituce muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování.

Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

Dalšími administrativními principy jsou povinnosti zpracovatelů a správců vést záznamy o činnostech zpracování, za které zodpovídají. Budou povinni spolupracovat s dozorovým orgánem a na jeho žádost mu tyto informace zpřístupnit.

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

DPO (Pověřenec pro ochranu osobních údajů)

Důležitým pilířem pro soulad s nařízením GDPR je jmenování Pověřence pro ochranu osobních údajů, dále jen DPO.

Hlavní náplní DPO je monitoring zpracování osobních údajů s povinnostmi vyplývajících z nařízení, školení pracovníků, auditní služby a celkové řízení agendy pro interní ochranu dat.

Povinnost, kdy jmenovat DPO:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Dle informací plynoucích z nařízení je možné jmenovat pověřence i pro několik organizací, které mají podobnou organizační strukturu. DPO je vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů.

Jaké pokuty hrozí při neplnění nařízení GDPR?

V případě, že organizace nebude reagovat a nebude se připravovat na příchod nového evropského nařízení, hrozí poměrně vysoké někdy až likvidační sankce.

Maximální výše pokuty je nastavena na 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti (vybírá se ta vyšší). Budou se však vyhodnocovat různé faktory, jako např.: závažnost, povaha, délka porušování, počet poškozených subjektů, kroky podniknuté k nápravě a další.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.

Zdroj: www.gdpr.cz

Jak zavést GDPR do organice (firmy, instituce)?

Každá organizace je zcela unikátní a tím pádem přistupuje i jinak ke zpracování a ochraně osobních údajů (dále jen OÚ). Zavádění GDPR a další legislativy spojené s ochranou OÚ do organizace, tak bude všude probíhat trochu jinak. Organizace by měla na začátku vždy nastudovat alespoň základní materiály k ochraně OÚ a následně provést analýzu současného stavu nakládání s OÚ. Na základě výsledků analýzy a vlastních specifik by organizace měla implementovat opatření, která v souladu s GDPR a spojenou legislativou, povedou k odstranění rizik v oblasti zpracování a ochrany OÚ.

Znalosti a dovednosti o GDPR, ochraně osobních údajů i kybernetické bezpečnosti Vám můžeme předat na našem školení (workshopu). Stejně tak si můžete provést úvodní hodnotící analýzu GDPR podle moderního, analytického nástroje BEAN.

Veškeré povinnosti vyplývající z GDPR efektivně vyřešíte těmito nástroji: 

  • GDA (dlouhodobá a komplexní správa systému zpracování a ochrany v organizaci)
  • PDIL (anonymizace, vyhledávání a mapování osobních údajů v databázích a dokumentech)
  • GDPO (správa žádosti, bezpečnostní událostií a systém online vzdělávání)
  • DPO (externí Pověřenec pro ochranu osobních údajů)

Co si přečíst, než začnete zavádět GDPR? Tyto texty Vám usnadní práci:

  • Cesta k souladu s GDPR aneb univerzální řešení neexistuje
  • 3 způsoby, jak poznat firmy parazitující na GDPR
  • Jak by měla vypadat analýza GDPR? Aneb inventarizační tabulka není vše