GDPR

Již pouze necelý rok zbývá všem subjektům pracujícím s osobními údaji (státním orgánům, obchodním korporacím, ale i drobným podnikatelům) na přizpůsobení se pravidlům ochrany dat dle nového evropského nařízení - Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – zkráceně „Nařízení GDPR“). Pokud se dotčené subjekty nepřizpůsobí novým pravidlům zpracování osobních údajů obsaženým v Nařízení GDPR, mohou jim hrozit pokuty až do výše 20 000 000 EUR nebo do výše 4 % jejich ročního obratu.

Základní informace o Nařízení GDPR

Nařízení GDPR, která má nabýt účinnosti již 25. května 2018, nově upravuje například podmínky pro získání souhlasu se zpracováním osobních údajů od fyzických osob a fyzických osob podnikatelů. Souhlas se zpracováním osobních údajů musí být výslovný, jednoznačný, nepodmíněný a kdykoliv odvolatelný. Fyzické osoby budou mít napříště právo například požadovat od subjektů zpracovávajících jejich osobní údaje výpis osobních údajů, které o nich jsou vedeny, umožnění jejich transferu nebo jejich nenávratné smazání z vnitřních systémů těchto subjektů.

Zároveň je nutné připomenout, že odpovědnost za splnění požadavků Nařízení GDPR nadále ponese primárně správce osobních údajů, který musí také důsledně prokazovat soulad zpracování osobních údajů s Nařízením GDPR. V případě, že dojde k incidentu (např. k úniku osobních údajů mimo systémy správce), bude správce povinen ohlásit takový incident dozorovému úřadu a obeznámit s tímto, v některých případech, také všechny zasažené osoby, a to do 72 hodin od zjištění incidentu.

Na organizace veřejné správy či státní podniky a dále společnosti, jejichž hlavní činnost spočívá v systematickém monitorování subjektů údajů (fyzických osob) nebo v rozsáhlém zpracování zvláštních kategorií osobních údajů, se bude vztahovat další povinnost, a to jmenování pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). Náplní funkce DPO bude zejména dohlížet na soulad činností těchto subjektů s Nařízením GDPR, komunikovat s Úřadem pro ochranu osobních údajů a provádět interní činnosti, jako jsou vnitřní audity nebo školení těchto organizací.

Ačkoliv Nařízení GDPR vychází z dosavadní právní úpravy ochrany osobních údajů, v praxi klade nové vysoké zejména administrativní požadavky na správce osobních údajů. Některé nejasné či v praxi složitě aplikovatelné nároky jsou postupně vykládány pracovní skupinou WP29. Svá stanoviska publikuje také Úřad pro ochranu osobních údajů. Bude se jednat o právní úpravu nanejvýš živou a lze předpokládat, že obrysy reálné implementace požadavků Nařízení GDPR na zpracování osobních údajů se budou měnit také na základě judikatury.

Nařízení GDPR -  konkrétní dopad Nařízení GDPR na některé typy subjektů:

• Banky – v praxi budou povinny jmenovat DPO a provádět PIA podle čl. 35 Nařízení GDPR při zavádění nových produktů, národní právní úprava vs. GDPR
• Nemocnice a jiná zdravotnická zařízení – zpracovávají zvláštní kategorie údajů – citlivé údaje, zpřísněny podmínky pro zpracování získaných osobních údajů, zejména pro jejich zabezpečení, ochranu a nakládání s nimi. Nutno nově upravit zpracování osobních údajů pro následnou péči (např. předávání údajů u pacemakerů a jejich monitorování přes počítač). Nařízení GDPR se nevztahuje jen na digitální data nutno nově upravit a zabezpečit zpracování údajů pacientů v papírových kartotékách atp.
• Veřejná správa - úkoly veřejné moci mohou být vykonávány i osobami soukromého práva (př. veřejná hromadná doprava, dodávky vody a energie, silniční infrastruktura, veřejnoprávní vysílání). Podle doporučení Art. 29 WP mají i tyto soukromé subjekty jmenovat DPO, přestože ve smyslu č. 37 odst. 1 Nařízení GDPR takovou povinnost nemají.
• IT oblast - technologické společnosti – správa, vývoj nových IT a mobilních aplikací. Nové požadavky Nařízení GDPR na zpracování údajů v této oblasti. Jsou zde zpracovávány často údaje dětí a mladistvých, které jsou ze strany Nařízení GDPR zvlášť chráněny.
• Bezpečnostní systémy – zvláštní kategorie osobních údajů: biometrické údaje a genetické údaje, kamerové systémy, zvláštní zpřísněná úprava v Nařízení GDPR pro zpracování a zabezpečení těchto údajů. Důsledněji bude vyžadováno upozornění na kamerové systémy zabezpečení budov.  
• E-commerce - poskytování služeb a zboží online E-shopy: monitoring klientů a jejich vyhledávání, mezinárodní předávání osobních údajů – Nařízením GDPR zavedena nové podmínky a pravidla. Například nutnost získat schválení pravidel/kodexu při předávání údajů mimo území EU.
• Marketing, reklama a profilování uživatelů – automatizované profilování, problematika smluv se zpracovateli (př. prodejce – reklamní agentura), zpracovávání širokého spektra osobních údajů, problematika získání a rozsahu souhlasu subjektu údajů s těmito aktivitami.
• Sociální média – zajištění přenositelnosti údajů a práva na informace, kontrola nad rozsahem osobních údajů, odpovědnost správce a zpracovatele v případě incidentu
• Výzkumné a vědecké ústavy – velmi dobrá pozice podle Nařízení GDPR. Vhodné je však připravit sumarizace procesů s odkazy na výjimky podle Nařízení GDPR a nastavit kvalitní ochranu osobních údajů, pokud jsou zpracovávány
• Hotelová a lázeňská zařízení - osobních údajů hostů, zvláštní vnitrostátní právní úprava pro cizince vs. Nařízení GDPR, lázeňské služby zpracovávaní zvláštní kategorie údajů, transfer údajů v rámci hotelových sítí, ideálně zpracovat kodex chování (čl. 40 Nařízení GDPR)
• Vzdělávací zařízení (zájmové, školská zařízení), soukromé a státní školy – zpracovávají osobní údaje dětí (nově nutný souhlas zákonného zástupce dítěte)

Služby poskytované naší kanceláří v souvislosti s Nařízením GDPR

• audity zpracování osobních údajů a revize všech procesů
• řešení otázek práv subjektu údajů
• školení pracovníků
• příprava smluv s DPO a právní poradenství v souvislosti se zavedením této pozice
• komplexní řešení v podobě vyhodnocení nutných změn, organizačních či technických opatření
• příprava interních směrnic a vnitřních předpisů
• právní poradenství při zpracovávání zvláštní kategorie osobních údajů (dříve „citlivých údajů“)
• úpravy listin, jako jsou smluvní dokumenty, souhlasy a komunikační formuláře, smlouvy mezi správci a zpracovateli o zpracování osobních údajů
• asistence při řešení přenosu osobních údajů do zahraničí
• hodnocení rizikovosti zpracování, nutnosti provádění PIA
• pravidelné audity a aktualizace postupů a interních směrnic
• zastupování při sporech v souvislosti s GDPR (správní řízení, občanskoprávní spory)

Náš tým, který pro Vás dané služby zajistí:

1. Mgr. Jan Urban
2. Mgr. Martin Roller
3. Mgr. Iveta Killarová