Přihlášení
  • Mgr. Eva Škorničková, Nobelova 4, 160 00 Praha 6 [online]. GDPR prakticky ©2018 [cit. 24.9.2018]. Dostupné z: http://www.gdpr.cz/

Z uvedeného zdroje jsme si dovolili převzít několik základních informací o problematice GDPR, neboť někteří z našich zákazníků se na nás obrátili s prosbou o pomoc při zvládnutí celé problematiky a s přípravou jejich společnosti na spolnění požadavků GDPR.

O poznatky z řešení této problematiky se s Vámi podělíme v dalších aktualitách.

Co je GDPR? Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. 

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji - zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

GDPR je v celé EU jednotně účinné od 25. května 2018. V Česku tak nahrazuje současnou právní úpravu ochrany osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů jsou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení.

Nový zákon o ochraně osobních údajů bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropského sboru pro ochranu osobních údajů (EDPB).

Co nového GDPR přináší

Na jakých nových přístupech je Obecné nařízení založeno?

Lze hovořit o dvou nových přístupech, na kterých je Obecné nařízení založeno. Novými přístupy jsou princip odpovědnosti správce a přístup založený na riziku.
Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Obecného nařízení a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku v širším slova smyslu znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu můžeme hovořit o přístupu založeném na riziku jako o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody fyzické osoby. V tomto rozsahu princip založený na riziku se uplatňuje zejména u nových povinností: ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, resp. subjektu údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace s Úřadem pro ochranu osobních údajů, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.

Jaké nové povinnosti Obecné nařízení přináší?

Je nutné zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly detailněji pouze rozpracovány a zpřesněny (např. nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů atd.). Obecné nařízení na těchto základech přináší nástavbu spočívající v dodatečných nových povinnostech, které pro české správce budou nové.

Jde zejména o tyto nové povinnosti:

  • povinnost vést záznamy o činnostech zpracování,
  • posouzení vlivu na ochranu osobních údajů,
  • předchozí konzultace,
  • ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů,
  • oznamování případu porušení zabezpečení osobních údajů subjektu údajů,
  • ustavení pověřence pro ochranu osobních údajů.

Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence, jsou ostatní nové povinnosti založeny na přístupu založeném na riziku, tj. jejich uplatnění je vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů. Avšak byť u povinnosti ustanovit pověřence není přímo pracováno s pojmy riziko či vysoké riziko, odráží se v této povinnosti do určité míry též přístup založený na riziku, jelikož pro určitá zpracování, resp. určité subjekty, je povinností ustanovit pověřence pro ochranu osobních údajů.

Ing. Václav Frantl | Ředitel společnosti
Email: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. | +420 377 221 046 | +420 377 225 167 | +420 377 555 033

Copyright © 2018 HSIcom. Všechna práva vyhrazena.
Joomla! je svobodný software vydaný pod licencí GNU General Public License.