GDPR

24.11.2017 09:28
GDPR je nařízení z Evropské unie, které vstoupí v platnost 25. 5. 2018. Jedná se o nařízení, tedy je automaticky platné bez národních úprav pro všechny země EU a EFTA. My máme pouze povinnost být s ním v souladu...

Dopad tohoto nařízení má prakticky na všechny společnosti a podnikatele, kteří jakýmkoliv způsobem pracují s osobními údaji. GDPR (General Data Protection Regulation) nahradí současnou právní úpravu ochrany osobních údajů a přináší velké změny v ochraně osobních údajů. Zároveň hrozí astronomickými pokutami za její porušování.- až do výše 20 milionů euro nebo 4% ročního obratu společnosti.


Co to ale pro nás v praxi znamená, pokud se chceme vyhnout nebezpečí sankcí a splnit nové požadavky? To bude cílem této minisérie o GDPR, kterou si kladu za úkol Vás připravit na to, co vlastně GDPR znamená, co obnáší pro vás a vaši firmu. Doufám, že se mi podařilo sepsat srozumitelný úvod do této problematiky.

Na úvod jedno doporučení: Neignorujte nařízení GDPR. Nevyplácí se to.

Určitě jste už o GDPR alespoň něco slyšeli. V médiích se to konečně začíná objevovat. Ale co to tedy vlastně je? Jak už bylo výše řečeno, jedná se o ochranu osobních údajů. Toto nařízení podstatně mění náhled na zacházení z osobními údaji oproti současnému zákonu o ochraně osobních údajů. Týká se to všech fyzických osob, jakožto nositelů osobních údajů, ale hlavně firem, které tyto údaje zpracovávají. A týká se to opravdu všech, protože většina firem má zaměstnance, jejichž osobní údaje zpracovává. Pokud máte své obchodní partnery (dodavatele, odběratele) fyzické osoby OSVČ, pak i jejich údaje jsou považovány za osobní a jako takové jsou chráněny nařízením GDPR. Opravdu se tomu nevyhnete.

article_photo

GDPR navrací právo občana EU nad správou svých osobních údajů. Jedná o komplexní soubor pravidel na ochranu osobních dat. Posiluje práva osob směrem ke kontrole nad osobními údaji. Nařízení o GDPR bylo schváleno Evropským parlamentem a jelikož se jedná o nařízení, tak automaticky bude platit na celém území EU a v zemích EFTA. Dokonce bude platit i pro firmy mimo, pokud mají v EU zastoupení. Není třeba národní implementace, díky formě nařízení bude platit jeden předpis pro všechny.

Účinnost nařízení bude od 25. května 2018, což je už cca za půl roku. Je to velmi málo času, strašně málo. Nicméně není třeba panikařit, jak si ukážeme dále, pokud se na tuto problematiku připravíte, nemělo by vám hrozit žádné nebezpečí. Tak směle do toho. :)

 

V čem je to jiné?

Dnes si řekneme základní rozdíly mezi GDPR a stávajícím zákonem o ochraně osobních údajů. Je jich více, ale ty nejvýznamnější se týkají práv občanů ke správcům osobních údajů. A v neposlední řadě ve výši sankcí...

V tuto dobu probíhá probíhá takzvané přechodné období určené pro implementaci nových evropských právních norem v oblasti ochrany osobních údajů - GDPR - General Data Protection Regulation. Přechodné období končí 25. května 2018. Je třeba si ale uvědomit, že to není lhůta pro národní novelizaci zákona 101/2000 Sb., ale lhůta, kdy se musí všechny povinné subjekty začít chovat v souladu s GDPR. Tedy nečeká se na nic, nařízení bude platné...

Dále je třeba pamatovat na to, že díky novele Zákona o trestní odpovědnosti právnických osob (cca 12/2016) je neoprávněné nakládání s osobními údaji trestný čin a je za něj možné stíhat právnickou osobu. Pak bude muset nastat dokazování ze strany právnické osoby, že nešlo o systémovou chybu, ale selhání jednotlivce.

V neposlední řadě přináší GDPR nové, docela drastické sankce. Jejich výše je stanovena do 20 mil. EUR a nebo 4 % z obratu. V případě nadnárodních korporací se počítá obrat nadnárodní..

Uveďme si aspoň ty nejvýznamnější rozdíly GDPR proti stávajícímu zákonu 101/2000 Sb.

  • Hlášení bezpečnostních incidentů
    • Nově musí postižená společnost nebo organizace informovat Úřad pro ochranu osobních údajů o narušení bezpečnosti nejpozději do 72 hodin po zjištění.
    • Společnosti a organizace musí zajistit takové procesy a technologie, aby se jim podařilo narušení bezpečnosti odhalit, patříčně na to zareagovat a zajistit nápravu.
    • Z toho vyplývá nutnost zajištění výchovy manažerů a zaměstnanců, provedení změn v interních směrnicích o zabezpečení dat a jejich zavedení do praxe.
    • Výsledkem by mělo být zjištění rychlého odhalení narušení bezpečnosti dat, rozpoznání příčin a následné nápravy.
  • Jmenování pověřence pro ochranu osobních údajů – DPO
    • Nově se definovaná povinnost pro větší firmy (zatím na 250 zaěstnanců - bude ještě dopřesněno Úřadem pro ochranu osobních údajů) zavést pozici pověřence pro ochranu osobních údajů - DPO (Data protection officer)
    • Tato pozice bude moct být řešena personálním zajištěním uvnitř organizace nebo dodavatelsky.
  • Změna dosahu
    • Nařízení GDPR se dotkne všech, firem, státní správy a místní samosprávy. Záleží, jaká data zpracovávají.
    • Nařízení nově zahrnuje jakákoliv data, která vedou k identifikování osobních dat jednotlivců.
  • Změna části terminologie: (vysvětlíme si podrobněji v dalším dílu)
    • osobní údaj - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
    • zpracování osobních údajů - jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebolikvidace.
    • správce - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu.
    • zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce.
  • Posouzení vlivu:
    • Byla zrušena povinnost oznamování dozorovému úřadu, tedy Úřadu pro ochranu osobních údajů, ale ... - viz další odrážka...
    • Místo toho musí společnost nebo organizace provést posouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivce, a předchozí konzultaci s dozorovým úřadem.

Rozdílů je tedy dost a to jsme se ještě nedostali k operacím zpracování osobních údajů. Co to jsou osobní údaje, si řekneme v příštím díle, který se pokusím vydat už zítra dopoledne :)

 

Co jsou to osobní údaje?

Jednou z věcí, které jsem v minulém článku zmínil, je nová terminologie osobních údajů, zpracování, správce a zpracovatele. Pojďme se na to podívat trošku podrobněji.

K tomu, abychom mohli dál uvažovat, jak s GDPR naložit, si musíme v prvé řadě uvědomit, co všechno jsou vlastně osobní údaje. Osobní údaje jsou veškeré informace, které se vztahují k identifikované nebo identifikovatelné osobě. Ty pak dělíme na dvě kategorie – obecné a citlivé. A tohle dělení má zásadní vliv na to, jak s nimi zacházet, jak je zpracovávat. Ukažme si napřed na příkladech, které údaje jsou považovány za jakou kategorii.

article_photo

Rozdíl mezi obecnými a citlivými osobními údaji je ten, že citlivé vyžadují výslovný souhlas k tomu, abyste je mohli zpracovávat. Pozor, třeba i údaj o tom, že konkrétní osoba nemá záznam v trestním rejstříku, je citlivý osobní údaj. Výslovný souhlas musí být písemný s podpisem dané osoby.

 

article_photo

Naproti tomu u obecných osobních údajů je sice vyžadován také souhlas, ale nemusí být písemný. Může být třeba takzvaně konkludentní – například předáním vizitky dávám souhlas se zpracováním údajů na ní obsažených. Nebo posláním mailu se automaticky má za to, že dávám souhlas se zpracováním osobních údajů v něm obsažených.

GDPR se nevztahuje na údaje zemřelých osob a na údaje k osobním účelům (typicky telefon, email, datum narozenin kamarádů, pokud je nemám k obchodním účelům, ale čistě osobním). Tyto údaje nemusí být anonymizované nebo šifrované...

 

GDPR se nevztahuje na anonymizované údaje, ale na šifrované údaje.

Anonymizovaný údaj je je takový, kdy nedohledáte konkrétní osobu. Jako příklad uvažujme anonymizovaný údaj - mám 12 osob pod 50 let. Nicméně, tohle je mi k ničemu, tedy musím šifrovat.

Šifrované údaje – například 12345G. Z tohoto údaje neznalý člověk nevyčte nic. Já pak mohu podle určitého klíče vyčíst konkrétní informaci o konkrétní osobě. Vždy tedy musí existovat někdo, kdo ten klíč zná. Tedy opět šifrovaný údaj spadá pod GDPR.

 
 

 

Diskusní téma: GDPR

Nebyly nalezeny žádné příspěvky.

Přidat nový příspěvek