prvek

Nová pravidla pro ochranu osobních údajů


prvek

Co to vlastně GDPR je?

GDPR (General Data Protection Regulation),neboli Obecné nařízení na ochranu osobních údajů  bylo přijato v dubnu 2016, ale vstoupí v účinnost až od 25. května 2018.  Vytváří nový právní rámec ochrany osobních údajů v evropském prostoru. Jeho cílem je hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich osobními daty a údaji. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. Obecné nařízení je univerzální ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a proto má také sjednocující účinek. Jednotná pravidla pro zpracování osobních údajů budou platit v každém státě EU a třech výše jmenovaných. Zajištění větší jednotnosti pravidel ochrany osobních údajů bylo jedním z cílů přijetí Obecného nařízení. Záměrem nařízení je dát evropským občanům větší kontrolu nad tím, co se s jejich osobními údaji děje. GDPR zavádí také pokuty za porušování nových, přísnějších pravidel a nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Úkolem DPO bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.  

V Česku GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude upravovat jen některé dílčí záležitosti nutné k dotvoření rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby. 

Období do května 2018, kdy vstoupí GDPR v platnost, je určeno přípravě. Během této doby musí všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji. Během tohoto období přijmou také jednotlivé státy EU prováděcí zákon, jímž upřesní body, které GDPR svěřuje do jejich národní pravomoci.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Změní se ale pravomoci a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pochybnost o rozhodnutí českého regulátora, bude existovat možnost obrátit se na EDPB s odvoláním.


prvek

Subjekty, které osobní údaje mají, zpracovávají je, ale nikomu je nepředávají

Živnostníci, firmy, ale i zájmové spolky, u kterých se může jednat o data zaměstnanců, členů, klientů nebo obchodních partnerů. V takovém případě je třeba dbát na základní zabezpečení systémů, do nichž se data ukládají, a také zajistit, aby měly přístup jen oprávněné osoby. Podle rozsahu je pak zapotřebí vhodně zvolit způsob, jakým budou o zpracovávání dat lidé informováni a jakým způsobem budou zajištěna jejich práva. Výjimku pro předávání tvoří externí účetní a daňové firmy, státní instituce a podobně, neboť takové předávání slouží ke splnění zákonných povinností.


prvek

Subjekty, které osobní údaje mají, zpracovávají je, a předávají je dalším subjektům

Firmy, které využívají online marketing, cílené reklamy, sledování návštěvníků webu pomocí externího dodavatele. Zejména u webových služeb je třeba dbát na správné informování návštěvníka o zpracování a předávání jeho údajů dalším subjektům. I pouhé ukládání osobních údajů do cloudu může být klasifikováno jako předávání osobních údajů. Je třeba zajistit správně formulované souhlasy návštěvníků s takovým zpracováním. Pro větší rozsah zpracovaných údajů je vhodné zvolit online řešení, takže v této kategorii bude často nutná úprava stávajících webů a systémů. Dále je nutné zvážit, zda firma není povinná zřídit pozici Pověřence pro ochranu osobních údajů.


Všem svým stávajícím i budoucím klientům firma ComArr poskytne při zavádění GDPR odbornou pomoc, a to i v oblasti právní za přispění renomované právní kanceláře.

REFERENCE

Služby města Pardubic
TVAR Pardubice
VAK
ZVU a.s.
Enteria
Maro

NAŠI PARTNEŘI

Eset
Fujitsu
Microsoft
Symantec
Veeam
VMware