Datum publikace:24.05.2018
Právní stav od:25.05.2018
Právní stav do:23.04.2019
Toto nařízení bylo schváleno v dubnu 2016, ale koncem května letošního roku, konkrétně 25. května 2018, vejde oficiálně v platnost. Lidem by tato legislativa měla přinést větší ochranu a bezpečnost s nakládáním osobních údajů, protože se týká všech firem, institucí i online služeb, které nějakým způsobem zpracovávají data svých uživatelů na evropském trhu. Pro firmy to však znamená další administrativní zátěž, více času a práce navíc a dodatečné náklady.
Co je GDPR
Do 24. května platila na území České republiky právní ochrana osobních údajů, která vyplývala ze směrnice 95/46/ES a k tomu související zákon č. 101/2000 Sb., o ochraně osobních údajů.
Od 25. května je vše ale jinak. Evropské nařízení je legislativně vyšší než česká směrnice, proto budou práva a povinnosti plynoucí z uvedené směrnice nahrazeny novou legislativou, a bude platit jednotně pro všechny státy Evropské unie. Oficiální stránky zabývající se GDPR říkají, že „obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby“.
Funkcí ochrany dat se zabýval Úřad pro ochranu osobních údajů a tak tomu bude i nadále, jen mu k tomu přibudou ještě další pravomoci. Jeho činnost bude dále podřízena Evropskému sboru pro ochranu osobních údajů, kterému se bude možné také odvolat.
Jaké údaje GDPR chrání?
GDPR chrání tyto osobní údaje:
- věk,
- datum narození,
- rodné číslo,
- osobní stav,
- IP adresa,
- fotografický záznam.
Například u fyzické osoby – podnikatele – se chrání e-mailová adresa, telefonní číslo a identifikační údaje vydané státem.
Dále se věnuje také zvláštní kontrola na údaje o rase, etnickém původu, politických názorech, náboženství, členství v odborech, zdravotním stavu, sexuální orientaci, deliktech apod. Citlivé údaje jako jsou genetické, biometrické a osobní údaje dětí podléhají ještě přísnější kontrole.
GDPR se nevztahuje na zemřelé osoby a na právnické osoby jako takové. Ovšem na údaje o zaměstnancích právnické osoby se ochrana už vztahuje.
Vzhledem k tomu, že se jedná o novelu platnou pro celou Evropskou unii, měla by být zajištěna vymahatelnost práva v celé Unii, ale také spolupráce dozorových orgánů a stejná výše sankcí.
Každá společnost, která osobní data zpracovává, by je měla podle této normy nyní uchovávat jen po dobu, po kterou je skutečně potřebuje. Za porušení pravidel hrozí pokuta až do výše 20 mil. eur nebo 4 % z celkového ročního obratu firmy. A to se týká jak malé firmy o třech zaměstnancích, tak velké firmy o stovkách či tisíci zaměstnancích. Výše pokuty je pro všechny stanovena stejně.
Nově vzniká i povinnost hlásit únik nebo ohrožení zabezpečení osobních údajů, a to nejpozději do 72 hodin od doby, kde se o tomto úniku nebo ohrožení dozvěděl.
Jaké povinnosti ukládá GDPR firmám?
Hlavní povinností je princip zodpovědnosti, který padá na bedra správcům a zpracovatelům údajů. Musí se zavést technická, organizační a procesní opatření, která budou v souladu s GDPR. Prakticky to znamená:
- konzultace s dozorovým orgánem před samotným zpracováním osobních údajů,
- implementace záměrné a nezbytné ochrany dat o svých zaměstnancích i zákaznících,
- vedení záznamů o činnostech zpracování údajů:
- jméno a kontaktní údaje správce a zpracovatele včetně jména DPO,
- účely zpracování,
- popis kategorií subjektů údajů a kategorií osobních údajů,
- kategorie příjemců, kterým byly nebo budou údaje zpřístupněny,
- informace o mezinárodním předávání osobních údajů,
- lhůty pro výmaz jednotlivých kategorií údajů,
- popis technických a organizačních opatření,
- zavedení tzv. pseudonymizace osobních údajů (to znamená zpracovávat osobní údaje tak, aby nebylo již nadále možné tyto údaje přiřadit konkrétní osobě bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny),
- vypracování posouzení vlivu na ochranu osobních údajů – DPIA (Data Protection Impact Assessment),
- jmenování pověřence (DPO – Data Protection Officer)
Pověřenec pro ochranu osobních údajů
DPO je člověk, který bude zodpovědný za prokazování souladu s GDPR. Náplní jeho práce je monitorovat zpracování osobních údajů, zjišťovat, zda nedochází k porušování práv a povinností plynoucí z nařízení, provádět interní audity, školení pracovníků v této problematice a řízení interní ochrany dat.
Zde ale platí, že povinnost jmenování pověřence je jen tehdy, platí-li jedna z 3 podmínek:
- zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
- hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Praktické příklady
Příklad č. 1
Společnost Kráter, s. r. o. se rozhodla změnit sídlo společnosti. Společnost nyní podniká mimo Evropskou unii. Klientela však zůstala stejná. Vztahuje se GDPR i na ně?
Ano. GDPR znamená ochranu osobních údajů všech, kteří bydlí nebo sídlí v Evropské unii. Nezáleží na tom, zda firma má sídlo v EU nebo mimo ni. Takže pokud jsou zákazníky lidé nebo firmy na území Evropské unie, je společnost Kráter, s. r. o. povinna chránit jejich osobní údaje.
Příklad č. 2
Firma Janák, s. r. o. má 15 zaměstnanců. Mzdovou agendu jim zpracovává účetní a daňová firma. Jak se nařízení GDPR dotkne tohoto případu?
Firma Janák, s. r. o. se stane správcem osobních údajů svých zaměstnanců. Účetní a daňová firma, která jim zpracovává mzdy, se stává zpracovatelem osobních údajů firmy Janák. Firma Janák, s. r. o. má dvě povinnosti: sdělit svým zaměstnancům, jaká firma zpracovává jejich osobní údaje a k jakému účelu, a se zpracovatelskou firmou musí sepsat smlouvu o zpracování osobních údajů svých zaměstnanců, ve které je patrné, kdo je správce údajů a kdo zpracovatel.
Příklad č. 3
Firma Janák, s. r. o. vypověděla smlouvu s účetní a daňovou firmou a místo toho zaměstnala mzdovou účetní. Jak se bude ochrana osobních údajů řešit nyní?
Firma Janák, s. r. o. je stále správcem osobních údajů svých zaměstnanců. Povinnost sdělit svým zaměstnancům, kde se zpracovávají a nachází jejich osobní údaje a k jakému účelu se využívají, platí i v tomto případě. Zaměstnavatel musí sdělit svým zaměstnancům, jak je zabezpečeno nakládání s údaji. V případě, že disponuje citlivými údaji, musí si vyžádat souhlas zaměstnance o jejich uchovávání. Souhlas zaměstnavatel nepotřebuje v případě, že osobní údaje zaměstnance jsou používány k zákonným účelům, jako např. zpracování mzdy, hlášení na sociální a zdravotní instituce, finanční úřad apod.
Příklad č. 4
Paní Nováková pracuje jako marketingový specialista. Její prací je mimo jiné správa sociálních sítí, stanovování reklam a remarketing. Pravidelně pracuje s Google Adwords, Facebook Ads, Sklik apod. Tyto systémy si ukládají tzv. cookies. Je to problém?
Cookies, které si ukládají informace o zboží v košíku, návštěvnících webu apod., jsou v tomto případě anonymní a nezasahují do soukromí osob. Zde problém není. Na druhou stranu si však mohou uchovávat informace k profilování zákazníka. A tyto informace již zasahují do osobních údajů a je třeba souhlas návštěvníka, který se musí nadále evidovat.
Problematiku cookies bude řešit nařízení ePrivacy, jehož účinnost bude ale později než u GDPR. Prozatím tedy stačí informovat zákazníka s využíváním cookies, k jakému účelu a jaké osobní údaje ukládáte.
Zajímavé odkazy:
Poznámky pod čarou:
Autor: Ing. Eva Blechová
Souhlas s využíváním cookies
Vlastní nastavení cookies