Obecně k General Data Protection Regulation (GDPR)
Z důvodu dosavadní roztříštěnosti právních úprav ochrany osobních údajů v členských státech Evropské Unie bylo za účelem sjednocení pravidel napříč členskými státy přijato Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), které vstoupí celounijně v účinnost dne 25. 5. 2018.
Do účinnosti GDPR by měly všechny subjekty zpracovávající osobní údaje splnit následující důsledně zrevidovat své informační systémy a postupy nakládání s osobními údaji. GDPR se dotkne každého (zaměstnavatelé, podnikatelé, orgány veřejné moci), kdo data občanů států EU zpracovává.
Jako základní zásady zpracování osobních údajů GDPR vymezuje zejména:
• Zákonnost
• Korektnost
• Transparentnost
• Integrita
• Důvěrnost
Co tedy GDPR přináší nového oproti současnému stavu?
• Občané (tedy subjekty údajů) mají právo být o svých osobních údajích informováni podstatně šířeji než dosud, budou moci vznést námitku vůči zpracování údajů a budou mít garantován přístup k informacím a údajům, které jsou o nich shromažďovány.
• Právo na opravu a Právo být zapomenut – povinnost bez zbytečného odkladu smazat osobní údaje žádající osoby, a to v případě, kdy je naplněn některý z důvodů vymezených v čl. 17 GDPR.
• V případě narušení bezpečnosti ochrany osobních údajů vzniká oznamovací povinnost – zpracovateli nastane povinnost sdělit únik dat či narušení jejich bezpečnosti Úřadu pro ochranu osobních údajů nejpozději do 72 hodin.
• Vyjmenované subjekty mají povinnost zřídit funkci Pověřence pro ochranu osobních údajů.
• Povinnost subjektů shromažďujících osobní údaje vypracovat Data Protection Impact Assessment, tedy posouzení vlivu na ochranu osobních údajů. Tato povinnost se vztahuje na evidující subjekty provádějící systematické a rozsáhlé vyhodnocení osobních údajů založené na automatizovaném zpracování, obdobně také subjekty, které v rozsáhlém objemu zpracovávají citlivé osobní údaje či systematicky monitorují veřejně přístupné prostory.
• Osobní údaje by měly projít co nejrychleji procesem pseudonymizace, kterým se rozumí zpracování osobních údajů tak, aby již nemohly být bez dostatečných informací, které jsou uchovávány odděleně, přiřazeny konkrétní osobě.
• Každý správce nebo zpracovatel má povinnost vést Záznam o činnosti zpracování a spolupracovat s dozorových úřadem, na jeho žádost tyto záznamy zpřístupnit pro jejich monitorování (týká se společností nad 250 zaměstnanců, nicméně může se v jistých případech vztahovat i na společnosti s méně zaměstnanci).
Jaké sankce hrozí subjektům z porušení povinností stanovených v GDPR?
• Pokuty do maximální výše až 20 000 000 eur nebo 4 % celkového ročního obratu společnosti, kdy výše sankce závisí zejména na intenzitě a trvání porušování povinností, počtu zasažených subjektů atd.
• Evidující subjekty mohou být vystaveny žalobám ze stran fyzických osob s nárokem na náhradu škody (hmotné i nehmotné újmy) a tím způsobenou ztrátou důvěry a reputačním rizikům způsobeným nesprávným nakládáním s osobními údaji.
Z výše uvedeného je patrné, že s účinností GDPR přibude subjektům zpracovávajícím osobní údaje (tedy prakticky každému) náročná administrativa s případnými citelnými sankcemi v případě pochybení. Rádi Vám s implementací bezpečných pravidel pro Vaši společnost pomůžeme, abyste byli v květnu 2018 na dopady GDPR připraveni!