GDPR

OBECNÉ NAŘÍZENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Základní informace

Nařízení Evropského Parlamentu a Rady č. 2016/679 ze dne 27.4.2016
účinnost od 28.5.2018, dosavadní zákon o ochraně osobních údajů pozbude téhož dne účinnosti
zavádí novou právní úpravu ochrany osobních údajů na úrovni celé EU, jedním právním předpisem přímo účinným ve všech členských zemích
účelem je posílení ochrany práv fyzických osob (subjektů osobních údajů) ve všech situacích, kdy dochází ke zpracovávání jejich osobních údajů a zároveň zvýšení odpovědnosti subjektů, které tyto údaje zpracovávají, a rozšíření jejich povinností (zejména v informační a bezpečnostní rovině)

Hlavní změny

rozšíření definice osobních údajů rovněž na technické informace – cookies, IP adresy (doposud byla klasifikace těchto dat sporná), dále rovněž biometrické nebo genetické údaje, které jsou považovány za citlivé údaje se zvýšenou mírou ochrany; osobním údajem je stále pouze informace schopná identifikovat konkrétní fyzickou osobu
je zachováno vymezení správce (kterým je prakticky každý – fyzická, právnická osoba nebo státní orgán - zpracovávající osobní údaje a určující účel zpracování, např. firma vedoucí databázi svých zaměstnanců, zákazníků nebo dodavatelů) a zpracovatele (osoba prováddějící operace v rámci zpracování údajů pro správce, např. externí personalista nebo účetní, provozovatel datového úložiště, poskytovatel software zpracovávajícího osobní údaje (např. model SAAS apod.)
nová práva subjektů údajů – zejm. právo na výmaz údajů správcem („právo být zapomenut“), právo na vznesení námitky proti zpracování, právo požadovat omezení zpracování nebo právo na přenos údajů mezi správci a na jejich export ve strojově čitelné podobě
nové povinnosti správců i zpracovatelů údajů, zasahující hluboko do jejich dosavadních běžných procesů

opatření a technické a informační systémy mají být a priori navrhovány s ohledem na požadavky ochrany osobních údajů
někteří správci budou mít povinnost provádět tzv. posouzení vlivu na ochranu osobních údajů, jmenovat tzv. pověřence pro ochranu osobních údajů, nebo vést tzv. záznamy o činnostech zpracování
správci budou povinni reportovat incidenty při zpracování údajů dozorovému orgánu
zrušena dosavadní povinnost obecné registrace u dozorového orgánu

zpracovatel osobních údajů – rozšířily se povinné náležitosti smlouvy uzavírané se správcem; smlouva už nebude muset být povinně uzavřena v písemné formě
přesnější kodifikace tzv. závazných podnikových pravidel regulujících zpracování a zejména předávání osobních údajů v rámci nadnárodních korporací

Zabezpečení osobních údajů

ještě větší důraz na analýzu rizik a na přijetí vhodných technických a organizačních opatření k zajištění zabezpečení odpovídajících danému riziku
zahrnuje mimo jiné šifrování, zajištění dostupnosti a odolnosti systému zpracování údajů, jeho obnovitelnosti v případě incidentu a pravidelné testování a vyhodnocování účinnosti zavedených opatření
zavedena důsledná informační povinnost v případě incidentu – jeho hlášení dozorovému orgánu, subjektům údajů, případně i správci údajů, pokud k incidentu dojde na straně zpracovatele

Sankce

stanoveny sankce za porušení povinností stanovených nařízením ve velmi širokém rozpětí
maximum až 20 mil. EUR nebo v případě podniku až 4 Ͽ ročního celosvětového obratu (např. za porušení v oblasti práva přístupu subjektů k údajům, nebo v oblasti souhlasu osob se zpracováním jejich údajů)

Co je nutno vyhodnotit

nutno provést analýzu všech procesů organizace z hlediska jejich dopadu na ochranu osobních údajů, zabezpečení, rizik a prevence
každý správce musí pojmout implementaci nařízení systémově, a musí mu přizpůsobit svou organizační strukturu i technické vybavení, zejména své IT systémy
systémy i organizace musí vyhovovat bezpečnostním požadavkům a umožňovat řešit požadavky subjektů údajů i v případě, že se tyto požadavky objeví v masivním počtu najednou
implementace systému identifikace incidentů, jejich následného reportingu úřadu a subjektům i jejich odstraňování
nutno nově zpracovat

interní dokumentaci prokazující přijetí zejm. organizačních opatření (směrnice)
nové souhlasy se zpracováním údajů (včetně např. souhlasu s přijetím cookies) a informace subjektům údajů
nové smluvní dokumenty v případě vztahu správce - zpracovatel

Jmenování pověřence pro ochranu osobních údajů

nařízení stanovuje případy pro pro Povinné jmenování pověřence pro ochranu osobních údajů
pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené nařízením

POSKYTOVANÉ SLUŽBY

podrobná právní analýza GDPR a jejích dopadů
interní analýza potřeb klienta s ohledem na charakter jeho činnosti
vypracování dokumentace – rozsah stanoven podle výsledků analýzy, charakteru činností klienta a rozsahu zpracování osobních údajů
konzultace k plnění povinností plynoucích z GDPR
zajištění Poveřence pro ochranu osobních údajů