Mgr. Nikola Dohnalová
Executive director
FlyEye s.r.o.
GDPR, ve svém plném názvu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, bude od 25. května 2018 přímo použitelným právním předpisem, který zejména po hmotněprávní stránce nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů. GDPR je tedy novou a do určité míry revoluční legislativou EU, jejímž cílem je zvýšit ochranu osobních údajů občanů v celé EU.
Na jaký okruh subjektů se GDPR vztahuje?
GDPR se vztahuje na všechny subjekty, které pracují či provádějí další operace s osobními údaji. Z pohledu povinností jsou tyto subjekty děleny na správce (controllers) a zpracovatele (processors).
Jejich definice se od stávající právní úpravy, tj. zákon č. 101/2000 Sb., o ochraně osobních údajů, výrazně neliší. Správce i nadále určuje otázky “Proč?” a “Jak?”, týkající se zpracování osobních údajů a osoba zpracovatele nadále jedná jménem správce.
Jednoduše řečeno: Pokud jste za současné právní úpravy v postavení správce nebo zpracovatele, 25. květen 2018, tedy datum, od kterého je GDPR účinné, na Vašem
postavení nic nezmění.
Pozor! GDPR se týká i OSVČ, pokud dochází ke zpracování osobních údajů v rámci obchodní činnosti.
Jak k implementaci GDPR přistupovat?
Povědomí
Je důležité aby osoby pověřené řízením špolečnosti a vedoucí zaměstnanci měli povědomí o blížicí se legislativní změně v oblasti ochrany osobních údajů.
Inventarizace
Je třeba zmapovat datové toky, tj. jaké osobní údaje jsou zpracovávány, odkud pocházejí, jak jsou zabezpečeny a s kým jsou sdíleny. Ideální cestou je provést informační audit v celé organizaci.
Zákonnost zpracování osobních údajů
Osobní údaje lze zpracovávat pouze na základě právních důvodů, které jsou vymezeny v čl. 6 GDPR. Je tudíž nutné v rámci informačního auditu posoudit, zda zpracování osobních údajů má oporu alespoň v jednom právním důvodu.
Úprava téměř všech dokumentů a zavedení bezpečnostních protiopatření
Je třeba provést aktualizaci dokumentů, které obsahují osobní údaje. Jedná se tak především o smluvní, dodavatelské i zaměstnanecké vztahy. Dále je třeba provést analýzu rizik a aktualizaci vnitřních předpisů upravujících ochranu osobních údajů.
Zavedení procesů pro realizaci práv subjektů údajů
Je třeba zavést procesy, které zajistí výkon práv subjektů údajů, např. jak provést likvidaci osobních údajů ze všech databází či poskytnutí informací ve strukturovaném, běžně používaném a strojově čitelném formátu.
- právo na přístup k osobním údajům
- právo být informován
- právo na opravu
- právo na výmaz
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku
- právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování
Položte si otázku: Vyhledá Vás systém osobní údaje konkrétního žadatele a poté jej ze všech databází nenávratně odstraní? Kdo bude provádět rozhodnutí o výmazu? Dokáže Váš systém označit osobní údaje a ukončit zpracování?
Výše uvedené informace jsou pouze zlomkem nových opatření, které GDPR zavádí.
Doporučuji neztrácet čas a začít s implementací co nejdříve. V případě porušení, nezavedení či nepřipravenosti na GDPR hrozí velmi vysoké pokuty, které v mnoha případech mohou být pro správce či zpracovatele až likvidační.
Na implementaci GDPR nemusíte být samotní! Společnost FlyEye s. r. o. poskytuje služby v oblasti ochrany osobních údajů z hlediska nové právní úpravy GDPR. Více informací naleznete na www.fly-eye.cz.
Mgr. Nikola Dohnalová
Executive director
FlyEye s.r.o.