GDPR a ochrana osobních údajů

GDPR a ochrana osobních údajů

V květnu 2018 začne v celé Evropské unii platit Nařízení o ochraně osobních údajů fyzických osob v souvislosti s jejich zpracováním (General Data Protection Regulation - GDPR), dále jen GDPR. GDPR sjednocuje ochranu osobních údajů v celé EU a dopadá na všechny společnosti, které osobní údaje zpracovávají a zároveň značně navyšuje pokuty za nedodržení pravidel GDPR. Klíčovou rolí pro úspěch projektu je pověřenec pro ochranu osobních údajů (Data Protection Officer - DPO), který má být garantem dané společnosti pro správné nakládáni s osobními údaji. Tato stránka obsahuje jen velmi stručné informace o základních pojmech používaných v problematice GDPR a odkazuje na další zdroje.

Projekt dosažení kompatibility s GDPR  je nesmírně komplexní a obsahuje množství komponent a účastníků v různých rolích. Navíc je to projekt dlouhodobý, protože díky zvýšeným právům subjektů zpracování údajů bude potřeba systematicky a včas řešit žádosti subjektů údajů a zároveň bezodkladně informovat dozorové orgány o případech úniku či zneužití dat. Takto rozsáhlý a dlouhodobý projekt nelze implementovat bez robustního a flexibilního systému pro evidenci a sledování projektů, úkolů a incidentů.

 
Základní pojmy GDPR

O GDPR existuje množství dokumentů dostupných volně na internetu, například: oficiální https://gdpr-info.eu/ i výkladové jako je https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/narizeni-gdpr-cesky-obsah/. 

V tomto dokumentu jsou základní pojmy jen velmi stručně popsány.

Nařízení GDPR: Evropské nařízení GDPR (General Data Protection Regulation = Nařízení o ochraně osobních údajů) stanovuje nová práva pro fyzické osoby a zejména nové povinnosti pro správce a zpracovatele osobních údajů.

  • Platnost: Ustanovení tohoto Nařízení budou platná od 25. 5.2018.
  • Pokuty: Za nesplnění GDPR hrozí pokuty až 20 milionů EUR (540 milionů Kč) nebo 4 % z obratu.

Osobní údaj a souhlas: Osobním údajem je každá informace o fyzické osobě (subjektu údajů), kterou o ní společnost eviduje například jméno, rodné číslo, adresa apod. Subjekt musí být o zpracování svých osobních údajů požádán o souhlas srozumitelnou a jednoduchou metodou. 

  • Rozšíření osobních údajů: Mezi osobní údaje patří nově například emailové adresy, IP adresy, cookies apod.
  • Citlivé osobní údaje: Speciální kategorií, na kterou se vztahují mnohem přísnější pravidla, jsou tzv. citlivé údaje. Například to mohou být údaje o rase, etnickém původu, politických názorech, náboženství, zdravotním stavu, anebo genetické a biometrické údaje.
  • Profilování: Profilování je automatizované zpracování osobních údajů za účelem sledování chování subjektů údajů a je rovněž velmi regulováno. Příklady profilování jsou hodnocení pracovního výkonu, ekonomické situace, preferencí, místa apod.

Role: GDPR s ohledem na vztah ke zpracování osobních údajů definuje několik rolí:

  • Správce: Správcem je společnost, která za zpracování primárně zodpovídá a určuje účely a prostředky pro zpracování. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti na základě smlouvy nebo zákonné povinnosti. Správce může zpracovávat osobní údaje i pro vlastní zájmy na základě souhlasu subjektů údajů.
  • Zpracovatel: Zpracovatelem je společnost, která zpracovává osobní údaje pro správce, nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
  • Dozorové orgány: Dozorový orgán (Úřadu pro ochranu osobních údajů) je hlavním garantem GDPR pro Českou republiku. DPO musí nahlásit incident např. o úniku dat bezodkladně, nejpozději do 72 hodin od zjištění.
  • DPO: Mnoho firem bude muset ze zákona jmenovat DPO a pro většinu velkých společností bude funkce DPO praktickou nutností. Mezi základní úkoly DPO patří zajištění souladu zpracovatelských činností s nařízením GDPR, poskytování informací a doporučení správci nebo zpracovateli a komunikace s dozorovým orgánem.

Práva subjektů: Práva subjektů údajů (občanů EU) budou značně posílena a vymahatelná formou žádostí. Mezi práva patří právo: na přístup, opravu, výmaz, být zapomenut, přenositelnost údajů, vznést námitku a omezení zpracování. GDPR se vztahuje i na společnosti mimo EU, které pracují s osobními údaji občanů EU.

V případě zájmu o další informace o našich službách nás kontaktujte.