Co je GDPR?

GDPR je zkratka anglického názvu General Data Protection Regulation – Nařízení o všeobecné ochraně údajů. Ale co je GDPR ve skutečnosti? Je to upřesněná legislativa EU, která výrazně zvýší ochranu osobních dat občanů. Jedná se o obecné nařízení EU (GDPR) 2016/679 o ochraně osobních údajů.

Od kdy vstupuje GDPR v účinnost?

GDPR nařízení vstupuje v účinnost 25. května 2018.

Koho se GDPR týká?

GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů– občanů. Jeho cílem je hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně jejich osobních údajů.

Jaké povinnosti ukládá nařízení GDPR institucím a firmám?

• implementace záměrné a nezbytné ochrany dat
• vypracování posouzení vlivu na ochranu osobních údajů (Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí.)
• zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů.)
• zavedení tzv. pseudonymizace osobních údajů = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
• vedení záznamů o činnostech zpracování(Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.)
• konzultace s dozorovým orgánempřed samotným zpracováním osobních údajů. Nově je také zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

Základní jednoduchý návod, jak zacházet s osobními údaji v rámci nařízení GDPR

• Každý, kdoshromažďuje, dále zpracovává a uchovává osobní údaje v rámci nařízení GDPR, musí jasně vymezit a stanovit účel zpracování údajů.
• Zpracování údajů musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
• Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
• Správce i zpracovatel osobních údajů musí osobní údajezabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
• Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
• Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
• Zpracování nesmí nadměrně zasahovat do soukromí. Správci musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
• Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
• V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

Úřad pro ochranu osobních údajů zpracoval desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení o ochraně osobních údajů (GDPR).

1. Odkazování na obecné nařízení jako na směrnici – odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být i zavádějící. Zatímco nařízení platí v celém svém rozsahu v celé Evropské unii a je přímo použitelné, naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.
2. Označování obecného nařízení za revoluci v právech subjektu údajů a v povinnostech správců – novinka v ochraně osobních údajů v členských státech EU to není; právo existuje podle čl. 14 směrnice 95/46/ES a v českém právním řádu je nalezneme v zákoně o ochraně osobních údajů od jeho schválení v roce 2000. Svého práva podle § 21 odst. 1 a 2 subjekty údajů v České republice běžně využívají.
3. Rozšiřuje se definice osobního údaje – obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zákon o ochraně osobních údajů jako jakoukoliv informaci týkající se určeného nebo určitelného subjektu údajů.
4. Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody – v obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování a nařízení výslovně upravuje podmínky jeho získání. Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení. Souhlas také může subjekt údajů kdykoli odvolat.
5. Šifrování je povinné – obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Vlastní povinnost zahrnuje zavedení vhodných technických a organizačních opatření s ohledem na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů. Šifrování je uvedeno jako jedno z vhodných opatření.
6. Každý, popř. téměř každý správce musí mít pověřence pro ochranu osobních údajů – správce je povinen jmenovat pověřence za splnění jedné ze tří podmínek:
   1. Zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí.
   2. Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů.
   3. Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. V jiných případech správce ani zpracovatel povinnost jmenovat pověřence pro ochranu osobních údajů nemají.
7. Pověřenec musí mít osvědčení (certifikát) – žádná specifická forma ověření nebo prokázání profesních kvalit stanovena není, tedy ani forma externě získaného osvědčení. Je samozřejmé, že u správce, u něhož část zpracování osobních údajů probíhá v režimu ochrany utajovaných informací, musí pověřenec splňovat podmínky stanovené příslušnými právními předpisy.
8. Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky – u některých správců a zpracovatelů vzniká dojem, že vhodného kandidáta nelze v současné době získat. Obecně existuje několik cest k nalezení správného pověřence, včetně sdílení osoby pověřence u správců, u nichž k výkonu funkce pověřence pro ochranu osobních údajů postačuje pouze část fondu pracovní doby i využití externí služby pověřence pro ochranu osobních údajů, popř. služby externí podpory pověřence pro ochranu osobních údajů.
9. Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly – úkoly může správce nebo zpracovatel samozřejmě ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce.
10. Nově hrozí správcům a zpracovatelům pokuty dle obratu – obecné nařízení stanoví, že za jakékoliv porušení obecného nařízení by měly být uloženy sankce včetně správních pokut, a to vedle nebo místo opatření uložených dozorovým úřadem. Horní hranice pokut je nová, ale pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se.

Jaké sankce hrozí za porušení obecného nařízení GDPR?

V případě porušení pravidel GDPR, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Maximální výše sankce je 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů, míra škody a řada dalších, a to bez ohledu na velikost subjektu. Vysoká pokuta může být udělena jak menší společnosti s deseti zaměstnanci, tak velké nadnárodní korporaci.

Kromě udělení správních pokut mohou být správci či zpracovatelé osobních údajů vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry, způsobené nesprávným zacházením s osobními údaji.

Kalkulačka a školení GDPR

Pokud jste již zahlceni teoretickými informacemi o GDPR a stále nevíte, jak se s ním vypořádat v praxi, navštivte například praktické celodenní školení, kterých je na trhu nyní dostatek nebo vyplňte jednu z online GDPR kalkulaček, které vás rychle požadavky GDPR na míru vaší firmy provedou.