specialista bezpečnosti práce a požární ochrany

Obecná informace o GDPR

gdpr3V pátek 25. května 2018 nabude účinnosti nová právní úprava ochrany osobních údajů. Tímto dnem přestane platit (má být zrušen) dosavadní zákon č. 101/2000 Sb., ve znění pozdějších předpisů, a ochrana osobních údajů se začne řídit Nařízením Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývaným GDPR.

Vzhledem k tomu, že se jedná o Nařízení, jedná se o přímo použitelný předpis Evropské unie. Proto nebudou požadavky v něm uvedené upraveny v národním právním předpise. V České republice bude pouze vydán zákon o zpracování osobních údajů (tzv. adaptační zákon) řešící některé dílčí aspekty, jež nařízení umožňuje upravit, například postavení Úřadu pro ochranu osobních údajů. Také bude provádět novou trestněprávní směrnici EU (Směrnice Evropského parlamentu a Rady 2016/680).

V poslední době se z GDPR stal tak trochu strašák. Vzhledem k tomu, že se dotkne i zajišťování BOZP (oblastí školení zaměstnanců, evidence pracovních úrazů a poskytování náhrad atd.), uvádím zde základní informace o něm a snažím se vyvrátit některé kolující mýty, například, že se vztahuje pouze na zaměstnavatele, kteří mají více než 250 zaměstnanců (to se týká pouze záznamů o činnostech zpracování). V žádném případě se však nejedná o komplexní přehled o GDPR. Ochraně osobních údajů při zajišťování BOZP a PO se věnuji na jiné stránce.

Co je nového

Nová úprava není žádnou revolucí v ochraně osobních údajů. Snad jen pro toho, kdo do této doby téměř žádnou nazajišťoval. Opravdových novinek přináší jen několik. Ani s pokutami to není tak hrozné, jak se jimi straší. Ale nepředbíhejme.

Novinkou je, že povinnosti jsou vázány na přítomnost rizika pro práva a svobody subjektu údajů (fyzická osoba, ke které se osobní údaje vztahují), obdobně, jako je tomu v BOZP. Dalšími novinkami, které Nařízení přináší jsou povinnost zpracovat záznamy o činnostech zpracování, ohlašování porušení zabezpečení osobních údajů na ÚOOÚ, oznamování porušení zabezpečení osobních údajů subjektu údajů v případě vysokého rizika, posuzování vlivu zpracování na ochranu osobních údajů (vysoké riziko), povinné konzultace s ÚOOÚ (vysoké riziko) a pověřenec pro ochranu osobních údajů.

Některé základní pojmy

Nařízení upravuje ochranu osobních údajů při jejich zpracování. Za osobní údaje jsou považovány veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů), tedy například i e-mailová adresa konkrétního zaměstnance. Podskupinu osobních údajů vyžadující vyšší úroveň ochrany tvoří „zvláštní kategorie osobních údajů“ (dosud označené jako citlivé údaje; rozsah téměř totožný). Zpracování těchto údajů, až na Nařízením stanovené výjimky, je zakázáno.

Zpracováním je myšlena jakákoliv operace, která je prováděna s osobními údaji s pomocí nebo bez pomoci automatizovaných postupů (shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, seřazení, zkombinování, omezení, výmaz nebo zničení).

Odpovědným za soulad zpracování osobních údajů s GDPR je správce (fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatel (fyzická nebo právnická osoba, která zpracovává osobní údaje pro zprávce) není nikdy odpovědná, a to ani v případě, že se jedná o externí firmu (musí se řídit požadavky správce).

Zásady zpracování osobních údajů

Osobní údaje musí  být zpracovány v souladu se stanovenými zásadami:

  • zákonnost (prováděno zákonným způsobem),
  • korektnost (relevantní informace o zpracování),
  • transparentnost (nezastírat účel zpracování),
  • omezení účelu (pouze pro výslovně vyjádřené a legitimní účely),
  • minimalizace údajů (pouze nezbytný rozsah údajů, který je nutný k danému účelu),
  • přesnost (v případě potřeby aktualizovat),
  • omezení uložení (ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro kterou jsou zpracovávány),
  • integrita a důvěrnost (náležité zabezpečení pomocí vhodných technických nebo organizačních opatření),

jež jsou základními stavebními kameny každého zpracování osobních údajů.

Osobní údaje mohou být zpracovávány bez souhlasu subjektu údajů (většina případů) nebo s jeho souhlasem (jen v případě, že je není možné zpracovávat bez souhlasu!).

Souhlas není nutné zajišťovat v případě, že zpracování je nezbytné pro:

  • plnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro přijetí opatření před uzavřením smlouvy na žádost subjektu údajů,
  • plnění právní povinnosti,
  • ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
  • účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy subjektu údajů vyžadující ochranu osobncíh údajů, zejména dítěte.

V ostatních případech musí být vyžádán souhlas subjektu údajů. Je však nutné mít na vědomí, že je možné osobní údaje zpracovávat pouze za předem jasně definovaným účelem (není možné zpracovávat osobní údaje s tím, že se to může někdy k něčemu hodit). Souhlas musí být dobrovolný, doložitelný, odlišitelný od ostatních údajů a odvolatelný.

Zabezpečení osobních údajů

Zabezpečení osobních údajů má být provedeno s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a rozsahu zpracování, jakož i jejich kategorii, kontextu a účelu zpracování a k různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů. Je možné, nikoliv povinné, například provést pseudonymizaci [nahrazení identifikačních údajů kódem (databáze vazeb kód-identifikační údaj je uložena odděleně)] nebo šifrování osobních údajů. Musí být přijata taková opatření, aby osobní údaje zpracovávala pouze fyzická osoba, která je zpracovává na pokyn správce nebo zpracovatele. Jejich počet by měl být minimalizován.

Práva subjektu údajů

Správcem nesmí být ignorována práva subjektů údajů – právo na informace, na přístup k osobním údajům, na opravu na doplnění, na výmaz. Výkon těchto práv musí být bezplatný, vyjma případů zjevně nedůvodných žádostí (například neustále se opakujících). Uskutečněn má být bez zbytečného odkladu, resp. do třiceti dnů.

Kdokoliv, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo od správce nebo zpracovatele obdržet náhradu utrpěné újmy.

Co ještě nebylo uvedeno

Jak bylo zmíněno v úvodu, není možné, aby problematika GDPR zde byla popsána komplexně. Opomíjím povinnost ustanovit pověřence (novinka GDPR), která se týká jen omezeného okruhu správců, posouzení vlivu na ochranu osobních údajů (opět se týká omezeného okruhu), záznamy o činnostech zpracování, kodexy (sdruženími přijatá pravidla pro různé kategorie správců nebo zpracovatelů) a osvědčení, možnost subjektu údajů nechat se zastupovat při podání stížnosti, předávání osobních údajů v rámci  unii a mimo ni atd.

Při zpracování osobních údajů se nesmí zapomínat na dodržení odpovídajícího způsobu jejich likvidace.

Pokuty

Velkým strašákem se staly pokuty, které budou moci být podle GDPR uloženy. Pravdou však je, že budou moci být uloženy, jak Nařízení uvádí, podle okolností každého případu. Sankce, tedy nejen pokuty, mají mít především preventivní, odstrašující a donucující účinek, nikoliv likvidační.

Nařízení nepožaduje, že v případě zjištění musí být pokuta uložena. Při rozhodování zda správní pokutu uložit či nikoliv a případně v jaké výši bude zohledňována například povaha, závažnost, délka porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, jakož i k počtu dotčených subjektů údajů a jejich kategorie. Též bude brán zřetel na to, zda se jednalo o úmysl nebo nedbalost, na kroky podniknuté správcem ke zmírnění škod, předchozí porušení správce atd.

Stanovená pokuta do výše 20 000 000 EUR nebo do 4 % celosvětového obratu za předchozí finanční rok (podle toho, která hodnota je vyšší) se vztahuje pouze na závažnější porušení (porušení práv subjektu údajů, předávání osobních údajů atd.). Pro ta méně závažná (nenahlášení nebo neoznámení případu porušení zabezpečení osobních údajů atd.) jsou stanoveny poloviční hodnoty.

V souvislosti s výší pokut je nutné si uvědomit dva aspekty, a to že pokuta má být odstrašující i pro největší společnosti světa (proto tak vysoké částky), a že se budou ukládat podle okolností každého jednotlivého případu.

Závěrem

Na závěr chci uvést, že není nutné se GDPR bát, je však nutné se na něj připravit. Především zmapovat které a za jakým účelem jsou zpracovávány osobní údaje a podle toho si nastavit potřebné kroky pro jejich ochranu, aby byla v souladu s GDPR. Přístup musí být vždy individuální u každého jednotlivého správce (nelze zajišťovat podle univerzálního řešení).

2017-12-04

 

Vyhledávání