Ochrana osobních údajů GDPR

Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) je plným názvem nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Jedná se o nařízení Evropské unie zajišťující výrazné zvýšení ochrany osobních dat občanů. Záměrem je nastavit jednotná pravidla nakládání s osobními údaji fyzických osob v reálném i virtuálním světě a zároveň umožnit jejich volný pohyb v prostoru Evropské unie.

Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části nařízení GDPR se nevztahují na organizace s méně než 250 zaměstnanci v případě, že nezpracovávají osobní údaje ve větším rozsahu.

Chráněné osobní údaje jsou libovolné neveřejné údaje, které lze přiřadit konkrétní osobě prostřednictvím:

  • jména, bydliště, r.č. či data narození
  • čísla dokladů: OP, pas, ŘP
  • elektronických údajů (IP adresa, cookie, lokalizační údaje)

Nařízení se vztahuje též na automatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být do evidence zařazeny. Zákon definuje skupinu zvláště citlivých osobních údajů. Směrnice GDPR klade zvláštní požadavky na vytváření profilů občanů EU, které umožní jejich ruční či automatické hodnocení (scoring).

  • Nařízení GDPR
  • Evropská ochrana osobních údajů
  • Účinnost: 25. května 2018
  • Subjekty: právnické osoby a podnikatelé
  • Odpovědnost: management
  • Vliv: kodex OOÚ, souhlasy, procesy, IT systémy

Co musí firma dle GDPR nařízení dělat?

Nejprve zjistit, jaké paragrafy GDPR zákona se jí týkají, příp. co udělat, aby se některým požadavkům vyhnula. Pokud se na ní GDPR vztahuje v plném rozsahu, musí zavést odpovídající kodex, pověřence, procesy a systémy – tuto odpovědnost není možné delegovat na dodavatele služeb. Na druhou stranu je to ideální příležitost k celkovému vylepšení procesů, zvýšení bezpečnosti informačních systémů a automatizaci firmy. Nabízí se též souběžné dosažení shody a certifikace GDPR a kybernetické bezpečnosti.

Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority. Možnosti vyhodnocení vaší situace, nabízené služby a návody na řešení GDPR najdete zde. Český text nařízení GDPR s komentářem a odpovědi na časté otázky uvádíme níže.

Nařízení GDPR a informační systémy

Kromě samotné ochrany (šifrování a ideálně anonymizace citlivých dat), musí firma vědět, kde všude jsou obsaženy a být schopna pracovat s osobními údaji jako celkem. Kromě jiného musí být schopna:

  • zobrazit uživateli přehled všech osobních údajů (dále OÚ)
  • zpracovat žádost o opravu či výmaz OÚ
  • zpřístupnit OÚ pro přenos a logovat veškeré přenosy osobních údajů
  • přiřadit příznak omezení zpracování a blokovat OÚ v systému
  • vytvořit a zpětně doložit průběh odsouhlasení, uložení, ochrany a likvidace osobních dat

Musíme jmenovat pověřence pro ochranu osobních údajů DPO?

Obecné nařízení GDPR článek 37, odst. 1 požaduje jmenovat pověřence pro ochranu osobních údajů (anglicky Data Protection Officer nebo též zkráceně DPO) ve třech případech:

  • pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů, nebo
  • pokud hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
  • pokud zpracování provádí orgán veřejné moci či veřejný subjekt

Rozsáhlým zpracováním se rozumí například zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy, pravidelné a systematické monitorování subjektů údajů: provozování telekomunikační sítě; poskytování telekomunikačních služeb; cílení internetové reklamy pomocí e-mailu, marketing řízený daty, sledování polohy, například u mobilních aplikací, věrnostní programy; behaviorální reklama, sledování tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení, kamerové systémy; propojená zařízení, např. chytré měřiče, chytrá auta, inteligentní domy.

 

Kdy je zanedbání ochrany osobních údajů trestný čin?

Zjednodušeně řečeno, když se podle zásad GDPR nebudete řídit nebo se o to alespoň maximálně snažit. (A nebudete schopni tuto snahu zpětně průkazně doložit, ideálně externím GDPR auditem či akreditovaným osvědčením.) Trestní odpovědnost se týká právnické osoby i osobně členů jejího vedení.

 

Na jaké situace se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů prováděné:

  • fyzickou osobou v průběhu výlučně osobních či domácích činností;
  • státními orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;
  • členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
  • při výkonu činností, které nespadají do oblasti působnosti práva Unie.
Košík