Zakroužkujte si v kalendáři to důležité datum. Dne 25. 5. 2018 vstoupí v účinnost nový právní předpis Evropské unie – Obecné nařízení o ochraně osobních údajů, známé rovněž pod zkratkou GDPR. Jedná se o právní předpis v mnoha ohledech měnící aktuální pojetí ochrany osobních údajů nejen v České republice. Nařízení stanovuje nová práva osob, s jejichž osobními údaji je nakládáno, a s tím související nové povinnosti osob, které tyto osobní údaje zpracovávají. Osobní údaje zpracovává v určité míře každý podnikatelský subjekt a proto pro všechny budou platit i příslušná ustanovení GDPR.

Celý právní rámec nastavený tímto nařízením stojí na dvou základních principech, a to odpovědnosti správce osobních údajů (tedy subjektu, který provádí samotné zpracování osobních údajů) a posuzování míry rizika jednotlivých procesů zpracování osobních údajů. Každý správce je povinen nejen splnit povinnosti nařízením mu ukládané, ale rovněž být schopen toto splnění povinností prokázat. Prokázat doložením příslušných podkladů v podobě např. řádně vyhotovené smluvní dokumentace, řádného udělování souhlasu se zpracováním osobních údajů (je-li potřebný), zpracováním interních dokumentů, proškolením svých zaměstnanců, řádným technickým a organizačním zabezpečením osobních údajů a další. Rovina posuzování rizika se projevuje v množství povinností, které je konkrétní správce povinen plnit. Na menšího podnikatele s několika málo zaměstnanci, který nezpracovává výraznější množství osobních údajů, budou dopadat pouze některé z GDPR vymezených povinností, naopak nadnárodní společnost s širokým polem působnosti, množstvím zpracovávaných osobních údajů, množstvím zaměstnanců a výraznou elektronizací správy své činnosti bude muset plnit povinnosti ukládané nařízením v celém jeho rozsahu.

Vymezení právních titulů

Osobní údaje mohou správci zpracovávat pouze na základě nařízením vymezených právních titulů. Právními tituly se rozumí:

  • zpracování nezbytné pro plnění či uzavření smlouvy,
  • zpracování nezbytné pro plnění právní povinnosti,
  • životně důležitý zájem,
  • veřejný zájem,
  • souhlas se zpracování udělený subjektem údajů a
  • oprávněný zájem správce na zpracování osobních údajů.

Pokud správci nesvědčí žádný právní titul, není oprávněn osobní údaje zpracovávat. Každý správce tak musí provést analýzu, na základě jakého právního titulu osobní údaje zpracovává, zda u něj právní titul ke zpracování osobních údajů existuje a zda je užíván tak, aby byly postupy zpracování osobních údajů v souladu s GDPR.

 

Práva osob, jejichž se zpracovávají

Stejně jako nařízení stanovuje povinnosti pro správce osobních údajů, stanovuje s tím spojená práva pro subjekty osobních údajů. Každý subjekt údajů má vůči správci, který zpracovává jeho osobní údaje, zejména následující práva:

  • právo na přístup k osobním údajům,
  • právo na jejich opravu a výmaz,
  • právo na omezení jejich zpracování,
  • právo na jejich přenositelnost či
  • právo podat námitku.

Správce je povinen veškerá tato práva reflektovat, upravit postupy své podnikatelské činnosti a být připraven okamžitě reagovat v situaci, kdy u něj subjekt údajů své nařízením uložené právo uplatní.

Povinnosti správce osobních údajů

Zejména však nařízení klade zvýšené nároky na správce osobních údajů, a to co se plnění povinností v této oblasti jejich činnosti týká. Rovněž zavádí určité nové dosud neexistující povinnosti. Prvním, a klíčovým, krokem by tak u každého podnikatelského subjektu mělo být provedení zevrubné analýzy vykonávané činnosti a souvisejícího nakládání s osobními údaji. Na základě toho, jaké osobní údaje správce zpracovává, v jakém množství, po jak dlouho dobu, jaké osoby k nim mají přístup, jak jsou technicky, organizačně či právně zabezpečeny a spousty dalších otázek, se budou vztahovat na správce povinnosti stanovené GDPR. Těmito povinnostmi se rozumí:

  • povinnost informační, tedy informovat subjekt údajů o jeho právech a dalších stanovených skutečnostech,
  • povinnost vést záznamy o činnostech zpracování,
  • povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a povinnost oznámení případů porušení zabezpečení osobních údajů subjektu údajů,
  • povinnost provést posouzení vlivu na ochranu osobních údajů,
  • povinnost ustanovit pověřence pro ochranu osobních údajů a
  • povinnost řádného zabezpečení osobních údajů.

Kroky k zavedení GDPR

Po provedení nezbytného kroku v podobě analýzy, tedy zjištění, jaké veškeré povinnosti musí daný podnikatelský subjekt plnit, následuje krok tzv. implementace, tedy přijetí konkrétních opatření k uvedení postupů v oblasti zpracování osobních údajů v soulad s nařízením. Po nezbytném individuálním posouzení vlastní činnosti je nutné, v rámci náležité implementace, v určeném rozsahu upravit smluvní dokumentaci správce (ve vztahu k zaměstnancům, klientům, zpracovatelům), upravit znění udělovaného souhlasu se zpracováním osobních údajů, provést posouzení vlivu na ochranu osobních údajů, vyhotovit interní kodex pro vnitřní postupy správce, připravit postup při vzniku bezpečnostního rizika při zpracování osobních údajů, proškolit zaměstnance, přijmou náležitá organizační a technická opatření a další.

Příprava Alfaxu pro GDPR

Jak z výše uvedeného plyne, jedná se o oblast velice komplexní, která dopadá na každý podnikatelský subjekt a je potřeba se na ni připravit, nejen s ohledem na budoucí kontroly prováděné Úřadem pro ochranu osobních údajů a hrozící vysoké pokuty.

V současné době analyzujeme interní procesy Shockworks, které bude GDPR ovlivňovat. Součástí této analýzy jsou i technické úpravy systému Alfax týkající se zabezpečení dat, logování prováděných akcí a možnosti přenositelnosti a výmazu dat.

Pokud máte nějaké dotazy ohledně dané problematiky, neváhejte kontaktovat naší podporu prostřednictvím e-mailu podpora@shockworks.cz.

Petr Křížan

Author Petr Křížan

Petr je novým přírůstkem ve vývojovém týmu Shockworks. Specializuje se na optimalizaci a performance internetových obchodů. Má rád nové technologie a nebojí se nových výzev.

More posts by Petr Křížan