Ochrana osobních údajů – GDPR nařízení

Níže najdete český text a komentáře ke GDPR nařízení. Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) je plným názvem nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nový evropský „GDPR zákon“ zvyšuje ochranu osobních dat občanů, nastavuje jednotná pravidla nakládání s osobními údaji fyzických osob v reálném i virtuálním světě a zároveň umožňuje jejich volný pohyb v EU.

Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části GDPR nařízení se nevztahují na organizace s méně než 250 zaměstnanci v případě, že hlavní činností není zpracování citlivých údajů či velký rozsah zpracování.

Zákonem chráněné osobní údaje jsou libovolné neveřejné údaje, které lze přiřadit konkrétní osobě prostřednictvím:

  • jména, bydliště, r.č. či data narození
  • čísla dokladů: OP, pas, ŘP
  • elektronických údajů (IP adresa, cookie, lokalizační údaje)

Nařízení se vztahuje též na automatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být do evidence zařazeny. Zákon definuje skupinu zvláště citlivých osobních údajů. Směrnice GDPR klade zvláštní požadavky na vytváření profilů občanů EU, které umožní jejich ruční či automatické hodnocení (scoring). GDPR nařízení i s komentáři uvádíme níže.

  • GDPR nařízení
  • Evropská ochrana osobních údajů
  • Účinnost: 25. května 2018
  • Odpovědnost: vrcholový management
  • Vliv: procesy, IT systémy, souhlasy, kodex
  • Rizika: pokuty ÚOOÚ a odškodnění občanům EU
  • Pomoc: oborové kodexy, GDPR audit, GDPR certifikace

Co musí firma dle GDPR nařízení dělat?

Nejprve zjistit, jaké paragrafy GDPR zákona se jí týkají, příp. co udělat, aby se některým požadavkům vyhnula. Pokud se na ní GDPR vztahuje v plném rozsahu, musí zavést odpovídající kodex, pověřence, procesy a systémy – tuto odpovědnost není možné delegovat na dodavatele služeb. Na druhou stranu je to ideální příležitost k celkovému vylepšení procesů, zvýšení bezpečnosti informačních systémů a automatizaci firmy. Nabízí se též souběžné dosažení dvojí shody: GDPR certifikace a kybernetická bezpečnost.

Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit. Možnosti vyhodnocení vaší situace, nabízené služby a návody na řešení GDPR zdeGDPR certifikace zde. Český text nařízení GDPR s komentářem a odpovědi na časté otázky níže.

GDPR nařízení a informační systémy

Kromě samotné ochrany musí firma vědět, kde všude jsou obsaženy a být schopna pracovat s osobními údaji jako celkem. Kromě jiného musí být schopna:

  • zobrazit uživateli přehled všech osobních údajů (dále OÚ)
  • zpracovat žádost o opravu či výmaz OÚ
  • zpřístupnit OÚ pro přenos a logovat veškeré přenosy osobních údajů
  • přiřadit příznak omezení zpracování a blokovat OÚ v systému
  • vytvořit a zpětně doložit průběh odsouhlasení, uložení, ochrany a likvidace osobních dat
Informační systémy

GDPR-ready dodavatelé

Otázky a odpovědi

Stručně - co je GDPR?

Zjednodušeně řečeno, GDPR je nový evropský zákon, který spojil dohromady osvědčená pravidla ochrany osobních údajů z různých států s hledisky kybernetické bezpečnosti, snadného elektronického sdílení a zároveň i ochrany práv lidí při robotizovaném zpracování. Stručné definice používaných pojmů jsou uvedeny zde.

Musíme jmenovat pověřence pro ochranu osobních údajů DPO?

Obecné nařízení GDPR požaduje jmenovat pověřence pro ochranu osobních údajů (anglicky Data Protection Officer nebo též zkráceně DPO) ve třech případech:

  • pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů, nebo
  • pokud hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
  • pokud zpracování provádí orgán veřejné moci či veřejný subjekt

Rozsáhlým zpracováním se rozumí například zpracování osobních údajů pro potřeby behaviorální reklamy, sledování polohy, věrnostní programy – více zde: povinné jmenování DPO.

Je GDPR audit nebo GDPR certifikace povinná?

Ne, žádná certifikace není ze zákona povinná. Jiná věc však je, zda ji nebudou vyžadovat obchodní partneři. Podle GDPR nařízení je každý subjekt, který předává třetí straně osobní údaje (jména, kontakty, objednávky) povinen zajistit, aby byly chráněny stejně (nebo lépe) než u něj. A právě GDPR certifikace daného zpracování (procesu) či používané aplikace (produktu) je zárukou splnění všech požadavků zákona. Méně prestižním klientům nebo při menším rozsahu zpracování může postačit předložení zprávy o provedení GDPR auditu. Více o oficiální certifikaci zde.

Potřebuje lékař dle GDPR souhlas pacientů s kontaktováním po e-mailu?

Lékař, stejně jako každý podnikatel, může údaje potřebné k naplnění smluvního vztahu ukládat bez samostatného souhlasu. Vzhledem k potřebě kontaktovat klienta/pacienta je uložení telefonu a emailu naprosto oprávněné, stejně jako pozvánka k preventivní kontrole. Pokud by ale lékař chtěl pacientům pravidelně zasílat obchodní nabídky, měl by od nich získat písemný souhlas se zpracováním – viz další otázka.

Jak přistupovat z pohledu GDPR k firemním, sdíleným elektronickým adresářům?

Zpracování kontaktů (osobních údajů) v jakémkoliv systému se napříč firmou řídí stejnými GDPR pravidly, upřesnění požadavků např. v auditu zdarma:
https://lepsi-reseni.cz/informacni-systemy/online-audit-gdpr-ano-ne/

Co se týká bezplatných cloudových služeb, pozor na situaci, kdy nemáte s provozovatelem vyhovující smlouvu o zpracování – a tedy ani žádné garance ohledně důvěrnosti, bezpečnosti a dostupnosti údajů. Pokud byste tam umístili osobní údaje, jednalo by se o porušení GDPR nařízení.

Jakou podobu má mít "GDPR souhlas" se zpracováním osobních údajů?

Nároky na udělení souhlasu se zvyšují – prvořadě musí být jednoznačný, nestačí „pokračování v používání webu“. Další změnou je povinnost přesně a jednoduchým jazykem popsat zamýšlené zpracování osobních údajů, jeho důsledky i možnosti jeho ukončení. Podrobný rozbor zde: souhlas dle GDPR.

Kdy je zanedbání ochrany osobních údajů trestný čin?

Zjednodušeně řečeno, když se podle zásad GDPR nebudete řídit nebo se o to alespoň maximálně snažit. (A nebudete schopni tuto snahu zpětně průkazně doložit, ideálně externím GDPR auditem či akreditovaným osvědčením.) Trestní odpovědnost se týká právnické osoby i osobně členů jejího vedení.

Vztahuje se GDPR nařízení i na spolky a sdružení?

Ano, s nadsázkou se dá říci, že kromě domácích adresářů a policie se GDPR týká všech. To ale neznamená, že všichni musí od základů měnit způsob zpracování osobních údajů či nakupovat nový software. V případě malého spolku nebo společenství vlastníků půjde spíše o úklid souborů a papírů – výsledná hromádka se přiměřeně ochrání (rozumným heslem, spolehlivou cloud službou, zamčeným šuplíkem) a popíše se. Následně si spolek od členů vyžádá souhlas s tímto zpracováním. Do souhlasu je nutné ještě uvést, na koho se mají členové obrátit, když budou chtít údaje upravit nebo odstranit.

Na jaké situace se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů prováděné:

  • fyzickou osobou v průběhu výlučně osobních či domácích činností;
  • státními orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů; členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU; při výkonu činností, které nespadají do oblasti působnosti práva Unie.

Máte ke GDPR dotaz? Pište:

Když uvedete e-mail, budeme vás informovat o zveřejnění odpovědi.

Košík