GDPR: co nás čeká podle nového nařízení EU o ochraně osobních údajů

GDPR: co nás čeká?
Obecné nařízení o ochraně osobních údajů (GDPR - General Data Protection Regulation) představuje nový a převratný právní rámec ochrany osobních údajů v evropském prostoru. Jeho cílem je posílit ochranu všech rezidentů Evropské unie v oblasti jejich osobních údajů. GDPR tak zavádí nová a přísnější pravidla.

Tato nová evropská legislativa vstupuje v platnost 25. května 2018. Období do tohoto data je určeno k přípravě. Do uvedeného termínu musí všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji dle nové úpravy. GDPR se přitom týká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů. Jde tedy o firmy, instituce i jednotlivce,  kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Nařízení se týká i orgánů veřejné moci, pod čímž je nutné chápat i každou obec. Orgánem veřejné moci jsou v podmínkách obcí i školy ve formě právnické osoby či příspěvkové organizace, jelikož i ty jsou nadány pravomocí rozhodovat o právech a povinnostech fyzických osob .

Nově stanovené povinnosti

Obecně se dá říci, že zaváděná změna spočívá v nahrazení současné nahlašovací povinnosti několika účinnějšími mechanismy, které však zároveň přinášejí nové povinnosti pro firmy a instituce bez ohledu na jejich velikost či počet zaměstnanců. Jedná se zejména o následující povinnosti:

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů
  • vedení záznamů o činnostech zpracování
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

Nejvýraznější novinkou je povinnost jmenovat tzv. pověřence pro ochranu osobních údajů (Data Protection Officer - DPO). Povinnost pověřence jmenovat nastává ve třech případech, pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt (např. veškeré obce, fary či státní školy)
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat. Pověřencem může být zaměstnanec správce dat, nebo externě spolupracující osoba. Pověřenec by však měl být nezávislý a mělo by být zamezeno střetů zájmů. V případě vykování funkce pověřence zaměstnancem se tak nesmí jednat o osobu zastávající pracovní místo, na kterém jsou stanovovány účely a prostředky zpracování osobních údajů. Pověřencem tedy nemůže být vrcholový řídící pracovník správce nebo zpracovatele (v podmínkách obcí starosta, místostarostové či tajemník obecního úřadu), avšak současně musí být pověřenec vrcholovým řídícím pracovníkům přímo podřízen.

Další novinkou je DPIA neboli posouzení vlivu na ochranu osobních údajů. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí (avšak ne výlučně). Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci (zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací), v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům. Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit (výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje).

Nově bude muset rovněž zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Postih v případě porušení

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům velmi vysoké pokuty. Jejich maximální výše je 20 milionů eur nebo 4 % z celkového ročního obratu společnosti, přičemž vždy platí vyšší z obou možností. Konečná výše pokuty závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších. Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci. Pokuta může být tedy často pro firmu doslova likvidační. Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.

Nutno však podotknout, že stále probíhá proces přípravy výkladových pravidel nařízení a tak instrukce evropských nebo národních orgánů v podobě jasných pokynů, jak mají být problematická ustanovení GDPR vykládána, v některých případech stále chybí. Bohužel s ohledem na pomalý postup EU a na nešikovné načasování parlamentních voleb v České republice hrozí, že současný nevyhovující stav bude trvat až do chvíle, kdy nařízení vstoupí v účinnost.

 

Metodické doporučení Ministerstva vnitra k zabezpečení funkce pověřence pro ochranu osobních údajů