Nařízení GDPR

GDPR (General Data Protection Regulation) je nařízení Evropské unie o ochraně osobních údajů a sjednocení pravidel v této oblasti v rámci EU, které s účinnosti od 25. 5. 2018 nahradí český zákon č. 101//2000 Sb. o ochraně osobních údajů a bude v ČR závazné a přímo aplikovatelné. Vztahuje se na všechny subjekty, které pracují s informacemi o fyzických osobách – občanech EU, a to bez ohledu na jejich geografickou lokalitu (zaměstnavatelé, dodavatelé, poskytovatelé služeb, provozovatelé webových stránek a e-shopů). Dotkne se také veřejného sektoru (banky, pojišťovny, nemocnice) a malých a středních podniků.

Významné změny

  • samotný pojem „osobní údaj“ je zpřesněn a spadají sem nově i technické údaje typu e-mailová adresa, IP adresa, soubory cookies a tzv. genetické a biometrické údaje.
  • nově jsou přesně upraveny podmínky pro získání souhlasu se zpracováním osobních údajů. Souhlas musí být výslovný, jednoznačný, nepodmíněný a kdykoliv odvolatelný.
  • osobní údaje se budou muset zpracovávat jen v nezbytném rozsahu a jen na omezený čas. Po celou dobu zpracování musí být subjekty schopny doložit míru a úroveň zabezpečení.
  • ruší se tzv. oznamovací povinnost – povinnost oznámit ÚOOÚ, že bylo zahájeno zpracování osobních údajů;

Sankce

Za nesplnění podmínek hrozí několikanásobně vyšší sankce, v některých případech i likvidační, a to až 20.000.000 EUR (cca 535 milionů Kč) nebo 4% z celkového ročního obratu celosvětově, podle toho, která hodnota je vyšší.

 

Nové povinnosti pro správce, za jejichž dodržování je správce odpovědný

Mezi novinky patří například zásadní důraz na informační povinnost, právo na přenositelnost údajů, právo být zapomenut, povinnost provést pro vybraná zpracování posouzení jejich vlivu na ochranu osobních údajů nebo jmenovat pověřence pro ochranu osobních údajů.

  • povinnost nahlašovat případy narušení zabezpečení osobních údajů

Správce má povinnost bez zbytečného odkladu upozornit orgán dozoru na porušení ochrany osobních údajů nejdéle do 72 hodin, kdy se o porušení dozví, ledaže by se nejednalo o riziko pro práva a povinnosti jednotlivce. V případě vysokého rizika pro jednotlivce je třeba nahlásit porušení také samotnému porušením ochrany dotčenému subjektu.

  • povinnost jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). V případě veřejné správy, státních podniků a společností systematicky monitorujících fyzické osoby (např. úřady a orgány veřejné moci, obce a města, nemocnice a soukromé kliniky, pojišťovny a banky, dodavatelé energií), se zakládá další povinnost, a to jmenovat pověřence pro ochranu osobních údajů. Ten musí dohlížet na soulad činností těchto subjektů s Nařízením, komunikovat s Úřadem pro ochranu osobních údajů a provádět interní činnosti, jako jsou vnitřní audity nebo školení.

 

Služby, které v souvislosti s Nařízením GDPR poskytuje naše advokátní kancelář

 

  • Analýza současného stavu a připravenosti na GDPR, návrh potřebných změn a implementace GDPR dle individuálních potřeb klienta
  • Právní revize dokumentů používaných vůči subjektům údajů, zejména revize smluv s klienty, získávaní souhlasy subjektů údajů, oznámení
  • Zpracování nebo revize interních směrnic případně jiných interních dokumentů klientů, které upravují zpracování osobních údajů
  • Povinná konzultace s dozorovým orgánem při významných zpracování osobních údajů
  • Firemní školení zaměstnanců či vedení
  • Kontrola právních nástrojů používaných pro předávání dat do zahraničí