fb in g+

 Možná jste již zaslechli o plánovaných změnách v ochraně osobních údajů. O co konkrétně se jedná? Na konci dubna bylo schváleno Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation neboli GDPR) – dosud zřejmě nejucelenější systém pravidel na ochranu dat na světě.

Co je GDPR a koho se týká?

GDPR - celým názvem Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Jeho cílem je zajistit jednotnou a komplexní ochranu osobních údajů ve všech členských státech EU (plus v Norsku, Lichtenštejnsku a na Islandu). Z tohoto důvodu se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje občanů EU, cílí tak na veřejnou správu, rozličné instituce, obchodní společnosti, e-shopy či zaměstnavatele napříč odvětvími, kteří nakládají s osobními údaji svých klientů, obchodních partnerů, zaměstnanců apod. Zasáhne též subjekty, které sledují, analyzují a vyhodnocují chování uživatelů webu či mobilních aplikací. V České republice GDPR nahradí současnou právní úpravu – zejména tedy zákon č. 101/200 Sb., o ochraně osobních údajů a související směrnice EU.

Občanům EU (označovaným též jako subjekty údajů) pak GDPR dává zejména právo být lépe informováni o tom, kdo a jakým způsobem shromažďuje a zpracovává jejich osobní údaje. Občan EU bude mít nově rovněž právo vznést námitku proti zpracování svých osobních údajů či právo na výmaz osobních údajů, pokud není dán právní důvod pro jejich další zpracovávání. Novinkou je také tzv. právo být zapomenut (zkráceně RTBF) – tedy právo, aby byly na základě žádosti vymazány osobní údaje z vyhledávače. Bez zajímavosti není ani fakt, že nařízení GDPR rozšiřuje definici osobních údajů i např. na e-mail, IP adresu, soubory cookie nebo biometrické údaje.

Od kdy bude účinné a co to znamená v praxi?

GDPR nabývá účinnosti dne 25. května 2018 (kdy v mezičase se v každém státě očekává přijetí příslušného vnitrostátního zákona, který upřesní některé body GDPR v rámci pravomoci členských států). Do této doby musí všechny dotčené subjekty přijmout opatření, aby naplnily podmínky ochrany osobních údajů – tedy především zrevidovat své systémy a postupy nakládání s osobními údaji. Zejména se jedná o následující:

  • revize systému ochrany dat a zavedení tzv. pseudonymizace (tedy stručně řečeno takové zpracování údajů, aby již nemohly být přiřazeny ke konkrétní osobě)
  • zavedení kontrolních mechanismů
  • vypracování posouzení vlivu na ochranu osobních údajů (anglicky Data protection Impact Assesment neboli DPIA) – týká se společností, které systematicky zpracovávají a vyhodnocují osobní údaje, ve velkém objemu zpracovávají citlivé osobní údaje nebo systematicky monitorují veřejně přístupné prostory (např. banky, pojišťovny, finanční instituce, společnosti poskytující věrnostní programy, zdravotní pojišťovny, nemocnice, bezpečnostní agentury a další)
  • jmenování pověřence pro ochranu osobních údajů (anglicky Data Protection Officer neboli DPO) – povinně se týká orgánů veřejné moci a dalších veřejných subjektů, dále těch, kdo provádějí rozsáhlé, pravidelné a systematické monitorování občanů či rozsáhlé zpracování údajů týkajících se rozsudků v trestních věcech a trestných činů. Pro ostatní je fakultativní.
  • zavedení systému vedení záznamů o zpracování osobních údajů
  • zavedení konzultací s orgánem dozoru

V případě porušení výše uvedených povinností přináší GDPR vysoké pokuty (až do 20 mil. EUR!).

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Závěr

S ohledem na to, že účinnost GDPR nastává již za rok, tedy relativně brzy, nelze všem subjektům (ať už veřejným či soukromým) než doporučit včasný a důkladný audit zpracování osobních údajů. Z tohoto auditu by následně měla vyplynout konkrétní potřeba zavedení příslušných opatření a závěr o tom, jaké povinnosti se na daný subjekt budou či nebudou vztahovat. S nejvyšší pravděpodobností bude minimálně třeba upravit příslušné smlouvy či prohlášení o ochraně osobních údajů. Konkrétní posouzení může být v daném případě poměrně komplikované, doporučujeme proto se zahájením příprav neváhat.

Mgr. Bc. Anna Frantalová

Advokátní kancelář Mičica & Pscheidt

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Navštivte naši kancelář

Advokátní kancelář Mičica & Pscheidt

Mgr. Pscheidt +420 777 219 916, JUDr. Mičica +420 777 678 601

Sladkovského 410

530 02 Pardubice

V sídle kanceláře je ve dvoře k dispozici parkování pro klienty.

Napište nám

Leave this empty:

Advokáti Mičica & Pscheidt