Close

GDPR – strašák nebo výzva?

Pokud už jste slyšeli o novém nařízení EU 2016/679  o ochraně osobních údajů (GDPR), zřejmě Vaši pozornost upoutaly i astronomické pokuty, které se vážou na jeho porušení.  Autoři se nejspíš inspirovali známým machiavelistickým heslem „účel světí prostředky“ a neostýchali se sáhnout k sankcím jako je 20 milionů eur nebo 4 % z celkového ročního obratu společnosti. Ovšem cíle, které si nařízení vytyčuje, jsou opravdu nemalé – mj. přispět k dotvoření prostoru svobody, bezpečnosti a práva, k hospodářskému a sociálnímu pokroku a k dobrým životním podmínkám fyzických osob.

Koho se nařízení týká

A protože nařízení EU je přímo použitelné v členských státech (bez nutnosti implementace do národního právního řádu), je vhodné se jakožto správce osobních údajů (ten, kdo určuje účely a prostředky zpracování osobních údajů) co nejdříve seznámit s jeho obsahem a připravit se na povinnosti, které jsou spojené se zpracováním osobních údajů. A za zpracování osobních údajů lze považovat jakoukoli operaci s osobními údaji, ať už manuální nebo automatizovanou. Příkladem může být shromáždění, zaznamenání, uspořádání, uložení, zpřístupnění, přenos, šíření, výmaz nebo zničení.

Principy ochrany osobních údajů

Mezi základní zásady zpracování osobních údajů patří transparentnost, účelové omezení nebo minimalizace údajů, tedy omezení údajů na nezbytný rozsah. Osobní údaje musí být zpracovávány zákonným způsobem, tedy nejčastěji se souhlasem osob, které je poskytují (tzv. subjekt údajů). Nařízení poměrně přesně stanovuje, jak by takový souhlas měl vypadat – jedná se o jednoznačné potvrzení, písemné (i elektronické), ale i ústní. Může se například jednat o zaškrtnutí políčka při návštěvě internetové stránky. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas vůbec. Ať už bude forma souhlasu jakákoli, správce musí být v každém případě schopen udělení souhlasu doložit. Pokud je ve hře více účelů zpracování údajů, souhlas by měl být udělen pro všechny.

Jaké povinnosti nařízení přináší

Kromě naplnění základních zásad pak musí správce splňovat povinnost poskytování informací subjektu údajů, např. o tom, k jakému účelu jsou jeho osobní údaje používány nebo o existenci práva na výmaz. Obecnou povinností, která v sobě zahrnuje sérii jednotlivých více či méně náročných kroků, je zavedení vhodných technických a organizačních opatření, jejichž účelem je provádění výše uvedených zásad ochrany údajů.

Posílení ochrany osobních údajů má probíhat i za pomoci povinného vedení záznamů o činnostech zpracování (tedy např. o účelech zpracování nebo kategoriích osobních údajů). Tato administrativní zátěž nedopadá na podniky, které zaměstnávají méně než 250 osob, ledaže provádějí takové zpracování údajů, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů nebo které není příležitostné. Jelikož ale mezi „nepříležitostné“ zpracování s největší pravděpodobností spadá správa klientů, dodavatelů a zaměstnanců, nebude mít zřejmě tato výjimka příliš významný dosah.

Nepříliš oblíbenou novinkou je také povinnost ohlašovat porušení zabezpečení ochrany osobních údajů nebo posouzení vlivu na ochranu osobních údajů a předchozí konzultace (pouze v případech, kdy je pravděpodobné, že určitý druh zpracování, zejm. při využití nových technologií, bude mít za následek vysoké riziko pro práva a svobody fyzických osob, a to s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování).

Ožehavá novinka – pověřenec pro ochranu osobních údajů

Velmi diskutovaným tématem je zavedení tzv. pověřence pro ochranu osobních údajů, jehož úkolem je např. poskytování informací správcům a zaměstnancům, kontrola souladu s nařízením nebo komunikace s úřadem na ochranu osobních údajů. Povinnost jmenovat pověřence se týká zejm. případů rozsáhlého pravidelného a systematického monitorování subjektů údajů. Co přesně ale chtěli autoři nařízení uvedeným obratem zahrnout, je v tuto chvíli otazníkem.

Určitou pomoc poskytuje ve svých vodítkách pracovní skupina Evropské komise WP29, která sice uznává, že „vskutku není možné uvést nějaké přesné, pro všechny situace použitelné, číslo udávající množství zpracovávaných dat nebo počet dotčených jednotlivců,“ ale poskytuje alespoň příklady rozsáhlého zpracování (nemocnice, banky, pojišťovny). S odkazem na recitál 91 pak vysvětluje, že se jedná o „rozsáhlé operace zpracování, jež mají sloužit ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohly mít dopad na velký počet subjektů údajů a u nichž je pravděpodobné, že budou představovat vysoké riziko.“ Na druhé straně uvádí i případy opačné (zpracování údajů o pacientech jednotlivými lékaři). Sami tvůrci ovšem uznávají, že se jedná o „krajní body (zpracování jednotlivým lékařem v protikladu k zpracování osobních údajů za celou zemi nebo Evropu), mezi kterými leží významná šedá zóna.“ Příslibem pracovní skupiny do budoucna je sdílení a uveřejňování příkladů relevantních ukazatelů signalizujících nutnost jmenovat pověřence.

Sledujte nás!

Vzhledem k současným informacím a možnému dalšímu vývoji tedy nelze než doporučit sledování našeho blogu nebo přímo pracovní skupiny WP29, případně dalších zdrojů aktualit, které mohou usnadnit přípravu na okamžik účinnosti GDPR, tedy datum 25. 5. 2018.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *