GPDR - General Data Protection Regulation

GDPR je nový zákon na ochranu dat platný pro celou Evropskou unii. Poskytuje jednotlivcům větší kontrolu nad jejich osobními údaji a ukládá nové povinnosti organizacím, které tato data shromažďují, zpracovávají a analyzují, a to včetně organizací mimo EU.

Nařízení GDPR nabývá účinnosti 25. května 2018, avšak mnohé již dávno platní. Některé změny jsou pouze ve smyslu sankcí. S využitím kroků níže můžete splnit jeho požadavky rychleji. Seznamte se také s odpověďmi na nejzásadnější otázky týkající se nařízení GDPR a jeho dopadu na vás.

Ochrana osobních údajů

Soukromé osoby mají právo:

  • Používat a exportovat své osobní údaje
  • Vymazat své osobní údaje
  • Opravovat chyby ve svých osobních údajích
  • Odmítnout zpracovávání svých osobních údajů

Opatření a oznámení

Společnosti a organizace musejí:

  • Chránit osobní údaje pomocí adekvátních bezpečnostních opatření
  • Ohlašovat dozorovému úřadu případy porušení zabezpečení osobních údajů
  • Získat souhlas se zpracováváním osobních údajů
  • Uchovávat záznamy o aktivitách týkajících se zpracovávání dat

Transparentnost

Společnosti a organizace musejí zavést pravidla, která:

  • Jasně upozorňují na shromažďování údajů
  • Vysvětlují, proč a kdy jsou zpracovávány osobní údaje
  • Definují pravidla uchovávání a mazání údajů

IT školení

Společnosti a organizace budou muset:

  • Zaškolit zaměstnance v oblasti ochrany a zabezpečení osobních údajů
  • Auditovat a aktualizovat svoje pravidla týkající se údajů
  • V případě nutnosti zaměstnávat pověřence pro ochranu osobních údajů
  • Vytvořit a spravovat dodavatelské smlouvy splňující nařízení

Obecné nařízení na ochranu osobních údajů neboli GDPR je dosud nejrozsáhlejším souborem pravidel na ochranu dat na světě. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje rezidentů EU, včetně společností a institucí mimo území EU, které působí na evropském trhu. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

Základní pravidla GDPR

Za zpracování dat (osobních údajů) je primárně zodpovědný správce. Správce může na tuto činnost najmout zpracovatele, ale pouze na základě písemné smlouvy.

Za zpracování dat se považuje:

  • shromážďováníní, zaznamenávání, ukládání,
  • nahlížení, vyhledávání, šíření,
  • změna, výmaz, zničení,
  • prostě jakékoli jejich použití.

Osobní údaje lze shromažďovat pouze:

  • za jasně daným účelem,
  • s dostatečným zákonným (právním) zdůvodněním,
  • po nezbytnou dobu, kdy trvá účel a právní důvod pro jejich zpracování.

Povinnosti správce / zpracovatele:

  • zodpovědnost,
  • bezpečnost,
  • minimalizace (obsahová, časová, úložiště),
  • povinnost předcházet, umět detekovat a řešit bezpečnostní incidenty.

Vybrané subjekty musí:

  • vést záznamy o činnostech zpracování,
  • spolupracovat s DPO,
  • posoudit vliv na ochranu osobních údajů (DPIA).

Subjekty mají právo:

  • na informovanost,
  • na opravu,
  • být zapomenut,
  • na výmaz,
  • na omezení zpracování,
  • na přenositelnost údajů,
  • vznést námitku proti zpracování.

Povinnost pověřence

Všechny veřejné orgány (OVM např. obce, školy ...) mají povinnost zřídit funkci pověřence.

GDPR bylo přijato v dubnu 2016, ale vstoupí v účinnost až od 25. května 2018 a představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel a nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). 

Co je GDPR a jak bude aplikováno v Česku

Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.  

GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zákon o ochraně osobních údajů po jeho novele bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby. 

To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU, aby  je národní vlády a zákonodárci nemohli jakkoli ohýbat a přizpůsobovat místním zájmům nebo lobbistům.

Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy vstoupí v platnost, je určeno přípravě. Během této doby musí všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji. Během tohoto období přijmou také jednotlivé státy EU prováděcí zákon, jímž upřesní více než padesát bodů, které GDPR svěřuje do jejich národní pravomoci.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.

Proč potřebuje Evropa lepší ochranu osobních dat

Evropská legislativa, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá. V roce 1995, kdy začala platit současná směrnice na ochranu osobních údajů, neexistovaly sociální sítě, cloudová úložiště ani řada dalších technologií.

Přestože nové nařízení GDPR začne platit až od roku 2018, již nyní víme, že bude zaostávat za technologickým pokrokem minimálně o pět let. Nepočítá s některými problémy tzv. internetu věcí (IoT), big data analýz či BYOD z anglického Bring Your Own Device – praxe, kdy si zaměstnanci nosí do práce vlastní počítač nebo mobil.

Při přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování dat (tzv. Úmluva č. 108) před 36 lety ve Štrasburku snad jen skutečné vizionáře napadlo, jak moc automatizované ono zpracování dat v dohledné budoucnosti bude. Soukromí je vzácným statkem, tím vzácnějším, čím více náš život prostupují a usnadňují výdobytky moderní doby, které tak rádi užíváme k práci i zábavě.

Dalším důvodem pro přijetí nového nařízení byla zjištění, že tajné služby některých států mimo evropský prostor v minulosti hojně shromažďovaly údaje o občanech EU. S ohledem na rozdíly vnímání osobní svobody a odpovědnosti jednotlivce mezi Evropou a jinými státy tak bylo nutné stanovit jasná pravidla ochrany našich práv.

Obecné nařízení vnáší do oblasti ochrany dat nový rozměr a hlavně posiluje její společenský význam. Ten byl dosud bagatelizován zejména těmi, kteří z rozsáhlého shromažďování osobních dat nejvíce profitovali. Také sami občané a aktivisté dlouho význam osobních dat podceňovali. Poskytování dat se stalo téměř zvykem, ať už při nakupování online, registraci do aplikací a služeb, či sdělováním údajů o platebních kartách a osobních dokladech.

Osobní data tvoří důležitou a nedílnou součást naší osobní identity. Proto představují pro velkou škálu subjektů cennou a strategicky významnou komoditu. Z těchto v podstatě protichůdných zájmů vyplývá nutnost nastolit mezi nimi jistou rovnováhu, a o to se právě GDPR pokouší.

Jaké zásadní změny GDPR přinese

Nařízení s sebou přinese rovnocennou vymahatelnost práva v celé EU, stejné sankce a mnohem těsnější spolupráci dozorových orgánů.

Dopadne totiž skutečně na každého, kdo s osobními údaji při svém podnikání či působení pracuje. Občané EU tak opět získají kontrolu nad svými osobními údaji.

GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

Je pravdou, že řada mechanismů, které GDPR obsahuje, je nám již známa z dosavadní právní úpravy. Zavádí však i nové povinnosti, mj. pro zpracovatele údajů, kteří byli dosud kryti subjektem správce údajů.

GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.

Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně přímý a online. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.

S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.

Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů. Už by se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se stalo např. v kauze společnosti Yahoo. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Co považuje GDPR za osobní údaje

Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Genetickými údaji jsou osobní údaje týkající se zděděných nebo získaných genetických znaků určité fyzické osoby, které vyplývají z analýzy biologického vzorku dotčené fyzické osoby nebo z analýzy jiného prvku, která umožňuje získat rovnocenné informace. Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem, které vypovídají o tělesném nebo dušením zdraví člověka.

Biometrickým údajem jsou osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňují jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, ale podle poslední judikatury i podpis.

Naopak z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. Týká se to tedy údajů, které zpracováváme pro osobní potřebu a s nikým je nebudeme sdílet.

Jaká práva dává GDPR nám jako občanům

Jedním z největších dopadů nařízení je výrazné posílení práv občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na přístup, opravu, výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů a v neposlední řadě právo vznést námitku.

Jako občané máme tato práva ke všem údajům, které má správce o nás k dispozici, tj. i k tzv. nestrukturovaným údajům, které mohou tvořit přílohy e-mailů nebo které jsou uloženy na různých interních a externích úložištích.

Právo na přístup dává občanům zejména možnost ověřit si zákonnost zpracování jejich údajů. Je téměř absolutním právem subjektu údajů, s výjimkou případů stanovených článkem 23, který dává členským státům EU možnost omezit toto právo v zájmu národní a veřejné bezpečnosti, obrany a soudních řízení.

Příkladem práv na přístup je informace o zdravotním stavu subjektu, přístup k údajům ve své zdravotní dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.

Každý občan tedy bude mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů, vědět, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.

Tímto právem by však neměla být nepříznivě dotčena práva či svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by občanům bylo odepřeno poskytnutí všech jejich informací.

V případě, že máme podezření na nesprávnost našich údajů, a to subjektivní nebo objektivní povahy, můžeme požádat danou společnost o nápravu. Správce by měl zajistit podmínky pro to, aby žádosti o opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.

Naprosto novým právem podle GDPR je právo na to, aby správce bez zbytečného odkladu vymazal naše osobní údaje, pokud je dán jeden z těchto důvodů:

  • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
  • Občan odvolá souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
  • Občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
  • Osobní údaje byly zpracovány protiprávně.
  • Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
  • Právní povinnost stanovená právem Unie nebo členským státem.

Další právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. Zde však GDPR uvádí řadu výjimek, pročež bude v praxi dost složité právo uplatnit, zejména v případech, kdy jsou naše osobní údaje zpracovávány státními institucemi.

Pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky.

Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

V systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

Neméně důležitým právem, jež nařízení nově zavádí, je právo na přenositelnost, které je v podstatě rozšířeným právem přístupu a může být subjektem uplatněno za splnění dvou podmínek, které musí nastat současně: 1. Zpracování je založeno na souhlasu občana nebo na smlouvě a 2. je prováděno automatizovaně.

Aby měl občan větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném formátu a předat je jinému správci. Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.

Jaké povinnosti ukládá GDPR institucím a firmám

Nyní platná směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům.

Tato povinnost představuje zátěž pro firmy, avšak nepřispěla ke zlepšení ochrany osobních údajů. Proto bude tato obecná ohlašovací povinnost nařízením zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměří na postupy zpracování, jež mohou představovat vysoké riziko pro práva a svobody občanů.

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů
  • vedení záznamů o činnostech zpracování
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

DPIA neboli posouzení vlivu na ochranu osobních údajů bude naprostou novinkou. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí. Algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby.

Významnou skupinou firem, která bude muset čelit této administrativní povinnosti, jsou společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu.

Obdobnou povinnost pak budou mít všechny společnosti nebo instituce, které v rozsáhlém objemu zpracovávají citlivé osobní údaje anebo systematicky monitorují veřejně přístupné prostory. Příkladem této kategorie společností jsou bezpečnostní agentury, zdravotní pojišťovny nebo nemocnice.

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.

Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Tyto záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

DPO čili Pověřenec pro ochranu osobních údajů

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer).

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost pověřence jmenovat nastává ve třech případech, pokud:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Ve všech třech případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Úkol ve veřejném zájmu a výkon veřejné moci může být plněn nejenom státním orgánem, ale také jinými fyzickými nebo právnickými osobami, kterým je tato pravomoc svěřena na základě národních předpisů. Může jít například o oblast veřejné dopravy, zásobování vodou a energiemi, silniční infrastrukturu nebo veřejnoprávní vysílání.

Podle nařízení může být jediný pověřenec jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou organizační strukturu. V odpovědnosti pověřence jsou rozmanité úkoly, proto musí správce zajistit, aby je jediný pověřenec zvládl plnit efektivně i přesto, že má odpovědnost za několik orgánů veřejné moci nebo veřejných subjektů. Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

Příklady rozsáhlého zpracování osobních údajů:

  • zpracování údajů o pacientech v rámci běžné činnosti nemocnice
  • zpracování cestovních dat jednotlivců používajících městskou hromadnou dopravu (např. sledování prostřednictvím čipové průkazky)
  • zpracování údajů o aktuální zeměpisné poloze zákazníků
  • zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky
  • zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy
  • zpracování obsahových, provozních či lokalizačních dat poskytovatelem telefonních a internetových služeb

Příklady zpracování, která nejsou rozsáhlá:

  • zpracování údajů o pacientech jednotlivým lékařem
  • zpracování osobních údajů týkající se rozsudků v trestních věcech a trestných činů jednotlivým právníkem

Pravidelné a systematické monitorování jasně zahrnuje všechny formy sledování a profilování na internetu, i pro účely behaviorální reklamy. Uveďme opět pár příkladů:

  • provozování telekomunikační sítě nebo telekomunikačních služeb
  • cílení internetové reklamy pomocí e-mailu
  • profilování a bodování (skórování) pro účely posouzení rizik (např. pro účely hodnocení úvěrového rizika, stanovení výše pojistného, předcházení podvodům, odhalování praní peněz)
  • sledování polohy, například u mobilních aplikací
  • věrnostní programy
  • behaviorální reklama; sledování zdravého životního stylu, tělesné kondice a zdravotních dat pomocí na těle nositelných zařízení
  • kamerové systémy

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Ačkoliv nařízení výslovně neupřesňuje, jaké profesní kvality by při jmenování pověřence měly být zváženy, podstatné by měly být vědomosti z oblasti národní a evropské legislativy a praxe v oboru ochrany osobních údajů a důkladná znalost GDPR. Užitečná je znalost oboru podnikání a chodu organizace, která je správcem. Pověřenec by také měl mít dostatečnou znalost prováděných operací zpracování, stejně jako informačních systémů a technického zabezpečení dat.

Nepřítomnost konfliktu zájmů úzce souvisí s požadavkem nezávislého jednání. Byť pověřenci smějí mít i jiné funkce, mohou jim být svěřeny pouze úkoly a povinnosti, které nezakládají střet zájmů. Především z toho plyne, že pověřenec v organizaci nemůže zastávat pracovní místo, na kterém by stanovoval účely a prostředky zpracování osobních údajů. Typickým příkladem pozic, u nichž by výkon funkce DPO mohl představovat konflikt zájmů, jsou ředitelé IT či personálních oddělení, ale též marketingový nebo obchodní ředitel, který v rámci výkonu svých pravomocí může určovat pravidla zacházení s osobními údaji zákazníků nebo klientů.

Funkci pověřence je možné vykonávat na základě smlouvy o poskytování služeb uzavřené mezi jednotlivcem nebo externí organizací (jinou než organizace správce nebo zpracovatele). V posledně jmenovaném případě je důležité, aby každý pracovník organizace vykonávající funkci DPO splňoval všechny příslušné požadavky GDPR, a tedy např. nebyl ve střetu zájmů.

Stejně tak je důležité, aby každý takový pracovník byl chráněn ustanoveními GDPR. Například smlouva o poskytování služeb nemá být nespravedlivě vypovězena v důsledku činnosti pověřence a také žádný pracovník organizace provádějící úkoly pověřence nemá být nespravedlivě propuštěn. Je také možné kombinovat individuální schopnosti a silné stránky, takže více spolupracovníků v týmu může účinněji poskytovat služby svým klientům.

Jaké sankce hrozí firmám, které budou GDPR ignorovat

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

Metodické doporučení k činnosti obcí – Ministerstvo vnitra

Ministerstvo vnitra vydalo metodický manuál, který mimo jiné konkretizuje roli pověřence. Kompletní znění manuálu naleznete zde: Metodické doporučení k činnosti obcí

Kompletní znění GDPR česky a anglicky

Kompletní znění GDPR v různých jazykových variantách ve formě pdf naleznete zde.

GDPR a kodexy chování

Úřad pro ochranu osobních údajů zveřejnil odpovědi na otázky týkající se přípravy a monitorování kodexů chování, které je možností, jak uvést zpracování osobních údajů do souladu s GDPR.

ÚOOÚ upozorňuje na fakt, že závazné pokyny pro vytváření uvedených kodexů lze předpokládat teprve v roce 2019, a to na základě metodických dokumentů, které bude připravovat budoucí Evropský sbor pro ochranu osobních údajů.

Celý článek si můžete přečíst zde.

ÚOOÚ: Cookies podle GDPR

Úřad pro ochranu osobních údajů zveřejnil návrh pro využívání cookies ve světle GDPR, které právě vstupuje v účinnost. Návrh je předložen k veřejné diskuzi. Zapojte se do diskuze i vy! Doporučení ke zpracování cookies si můžete přečíst zde.