Ochrana osobních údajů - GDPR

 

GDPR

 

  1. GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

  2. To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU.

  3. Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy vstoupí v platnost, je určeno přípravě. Během této doby musí všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji. Během tohoto období přijmou také jednotlivé státy EU prováděcí zákon, jímž upřesní více než padesát bodů, které GDPR svěřuje do jejich národní pravomoci.

  4. Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním. Do konce roku 2017 dojde k novele zákona č. 101/2000 Sb.

  5. Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:

 

  • implementace záměrné a nezbytné ochrany dat

  • vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment

  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)

  • zavedení tzv. pseudonymizace osobních údajů

  • vedení záznamů o činnostech zpracování

  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

 

  1. Aby správce mohl doložit soulad s GDPR, musí přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.

  2. Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

  3. Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

 

Tyto záznamy o činnostech musí obsahovat následující informace:

 

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO

  • účely zpracování

  • popis kategorií subjektů údajů a kategorií osobních údajů

  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny

  • informace o mezinárodním předávání osobních údajů

  • lhůty pro výmaz jednotlivých kategorií údajů

  • popis technických a organizačních opatření