gdpr@zakony.cz
GDPR
OBECNÉ NAŘÍZENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ
Základní informace
- Nařízení Evropského Parlamentu a Rady č. 2016/679 ze dne 27.4.2016
- účinnost od 28.5.2018, dosavadní zákon o ochraně osobních údajů pozbude téhož dne účinnosti
- zavádí novou právní úpravu ochrany osobních údajů na úrovni celé EU, jedním právním předpisem přímo účinným ve všech členských zemích
- účelem je posílení ochrany práv fyzických osob (subjektů osobních údajů) ve všech situacích, kdy dochází ke zpracovávání jejich osobních údajů a zároveň zvýšení odpovědnosti subjektů, které tyto údaje zpracovávají, a rozšíření jejich povinností (zejména v informační a bezpečnostní rovině)
Hlavní změny
- rozšíření definice osobních údajů rovněž na technické informace – cookies, IP adresy (doposud byla klasifikace těchto dat sporná), dále rovněž biometrické nebo genetické údaje, které jsou považovány za citlivé údaje se zvýšenou mírou ochrany; osobním údajem je stále pouze informace schopná identifikovat konkrétní fyzickou osobu
- je zachováno vymezení správce (kterým je prakticky každý – fyzická, právnická osoba nebo státní orgán - zpracovávající osobní údaje a určující účel zpracování, např. firma vedoucí databázi svých zaměstnanců, zákazníků nebo dodavatelů) a zpracovatele (osoba prováddějící operace v rámci zpracování údajů pro správce, např. externí personalista nebo účetní, provozovatel datového úložiště, poskytovatel software zpracovávajícího osobní údaje (např. model SAAS apod.)
- nová práva subjektů údajů – zejm. právo na výmaz údajů správcem („právo být zapomenut“), právo na vznesení námitky proti zpracování, právo požadovat omezení zpracování nebo právo na přenos údajů mezi správci a na jejich export ve strojově čitelné podobě
- nové povinnosti správců i zpracovatelů údajů, zasahující hluboko do jejich dosavadních běžných procesů
- opatření a technické a informační systémy mají být a priori navrhovány s ohledem na požadavky ochrany osobních údajů
- někteří správci budou mít povinnost provádět tzv. posouzení vlivu na ochranu osobních údajů, jmenovat tzv. pověřence pro ochranu osobních údajů, nebo vést tzv. záznamy o činnostech zpracování
- správci budou povinni reportovat incidenty při zpracování údajů dozorovému orgánu
- zrušena dosavadní povinnost obecné registrace u dozorového orgánu
- zpracovatel osobních údajů – rozšířily se povinné náležitosti smlouvy uzavírané se správcem; smlouva už nebude muset být povinně uzavřena v písemné formě
- přesnější kodifikace tzv. závazných podnikových pravidel regulujících zpracování a zejména předávání osobních údajů v rámci nadnárodních korporací
Zabezpečení osobních údajů
- ještě větší důraz na analýzu rizik a na přijetí vhodných technických a organizačních opatření k zajištění zabezpečení odpovídajících danému riziku
- zahrnuje mimo jiné šifrování, zajištění dostupnosti a odolnosti systému zpracování údajů, jeho obnovitelnosti v případě incidentu a pravidelné testování a vyhodnocování účinnosti zavedených opatření
- zavedena důsledná informační povinnost v případě incidentu – jeho hlášení dozorovému orgánu, subjektům údajů, případně i správci údajů, pokud k incidentu dojde na straně zpracovatele
Sankce
- stanoveny sankce za porušení povinností stanovených nařízením ve velmi širokém rozpětí
- maximum až 20 mil. EUR nebo v případě podniku až 4 Ͽ ročního celosvětového obratu (např. za porušení v oblasti práva přístupu subjektů k údajům, nebo v oblasti souhlasu osob se zpracováním jejich údajů)
Co je nutno vyhodnotit
- nutno provést analýzu všech procesů organizace z hlediska jejich dopadu na ochranu osobních údajů, zabezpečení, rizik a prevence
- každý správce musí pojmout implementaci nařízení systémově, a musí mu přizpůsobit svou organizační strukturu i technické vybavení, zejména své IT systémy
- systémy i organizace musí vyhovovat bezpečnostním požadavkům a umožňovat řešit požadavky subjektů údajů i v případě, že se tyto požadavky objeví v masivním počtu najednou
- implementace systému identifikace incidentů, jejich následného reportingu úřadu a subjektům i jejich odstraňování
- nutno nově zpracovat
- interní dokumentaci prokazující přijetí zejm. organizačních opatření (směrnice)
- nové souhlasy se zpracováním údajů (včetně např. souhlasu s přijetím cookies) a informace subjektům údajů
- nové smluvní dokumenty v případě vztahu správce - zpracovatel
Jmenování pověřence pro ochranu osobních údajů
- nařízení stanovuje případy pro pro Povinné jmenování pověřence pro ochranu osobních údajů
- pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené nařízením
POSKYTOVANÉ SLUŽBY
- podrobná právní analýza GDPR a jejích dopadů
- interní analýza potřeb klienta s ohledem na charakter jeho činnosti
- vypracování dokumentace – rozsah stanoven podle výsledků analýzy, charakteru činností klienta a rozsahu zpracování osobních údajů
- konzultace k plnění povinností plynoucích z GDPR
- zajištění Poveřence pro ochranu osobních údajů
Pro více informací nás, prosím, kontaktujte
Koordinátor implementace GDPR
Arnet On Line, s.r.o.
Nádražní 213/10, 702 00 Ostrava
Telefon: 597 431 510
E-mail: gdpr@zakony.cz
Články na téma problematiky GDPR
Přísnější ochrana dat se blíží. Nepřipraveným firmám hrozí stamilionové pokuty.
Důkladnější ochraně dat se nevyhnou dvě třetiny podniků. Přípravy většina z nich podceňuje i přes hrozbu vysokých pokut.