EFEKTIVNÍ CESTA, JAK SE RYCHLE ZORIENTOVAT V PROBLEMATICE GDPR
GDPR je Nové evropské nařízení o ochraně osobních údajů
(General Data Protection Regulation).
Vaši firmu by mělo eminentně zajímat.
Protože sankce za nedodržení pravidel vyplývajících z tohoto nařízení jsou pro vaši firmu až 20 miliónů Eur
nebo 4 procent z globálního ročního obratu (co je vyšší).
GDPR začne v ČR platit za méně než rok od 25. 5. 2018.
Času pro přípravu vaší firmy není nazbyt.
CO JE GDPR?
Nařízení s sebou přinese rovnocennou vymahatelnost práva v celé EU, stejné sankce a mnohem těsnější spolupráci
dozorových orgánů.
Dopadne totiž skutečně na každého, kdo s osobními údaji při svém podnikání či působení pracuje. Občané EU
tak opět získají kontrolu nad svými osobními údaji.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel
osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude
muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Je pravdou, že řada mechanismů, které GDPR obsahuje, je nám již známa z dosavadní právní úpravy. Zavádí však i
nové povinnosti, mj. pro zpracovatele údajů, kteří byli dosud kryti subjektem správce údajů.
GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou
muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co
doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude
moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost
osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své
osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.
Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně
přímý a online. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky
kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje
právní důvod pro jejich další zpracování.
S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail,
IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž
zpracování bude podléhat přísnějšímu režimu.
Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů. Už by
se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako
se stalo např. v kauze společnosti Yahoo. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení
osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu
dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.