Hi, How Can We Help You?

EN Ochrana osobních údajů – GDPR

EN Ochrana osobních údajů – GDPR

S rozvojem internetu, GPS, elektronizace a chytrých výrobků je spojen i nebývalý nárůst informací, které lze prostřednictvím těchto nástrojů shromáždit o fyzických osobách a firmách a použít je pro profilování a cílený marketing. Již nyní narůstá počet tzv. datakopeckých“ firem, které v této oblasti podnikají.

Tato situace vyvolala potřebu zvýšené ochrany osobních údajů, na které zareagovala EU schválením nařízení č. 2016/679 tzv. Obecné nařízení o ochraně osobních údajů (GDPR). Toto obecné nařízení platí ve všech zemích EU, účinnosti nabude ke dni 25.5.2018.

GDPR přestavuje jednotnou celoevropskou úpravu ochrany osobních údajů a plně nahradí stávající z.č. 101/2000 Sb. o ochraně osobních údajů. Jak je zvykem v EU, GDPR necílí pouze na oblast internetu, ale pro jistotu stanoví povinnosti všem podnikatelům, kteří při obchodním styku získávají osobní údaje fyzických osob nepodnikatelů i podnikatelů (ať už se jedná o zákazníky či obchodní partnery podnikatele) a dále s nimi nakládají (uchovávají je v účetnictví, v softwarových aplikacích své firmy či s nimi dále marketingově pracují). Takové podnikatelské subjekty jsou z pohledu GDPR správci osobních údajů a jsou povinni splnit všechny povinnosti stanovené GDPR pro jejich způsob nakládaní s osobními údaji. (Na údaje právnických osob se GDPR nevztahuje.)

Jde o širokou škálu povinností správce: od povinnosti fyzické osoby informovat o způsobu nakládání s osobními údaji, povinnosti získat souhlas k nakládání s osobními údaji, povinnost vést záznamy o činnostech zpracování až po vypracování posouzení vlivu na ochranu osobních údajů a jmenování pověřence pro ochranu osobních údajů.

Rozsah povinností jednotlivých správců se liší dle více ukazatelů – velikosti firmy, počtu zaměstnanců, druhu osobních údajů, které se zpracovávají (osobním údajem je i IP adresa) a množství zpracovávaných údajů. GDPR klade důraz na to, že je možné zákonně zpracovávat data pouze v nezbytně nutném rozsahu (zvláštní ochrana je věnována rodným číslům, fotografiím fyzických osob, ochraně nezletilých, občanským průkazům). To, že dodržuje GDPR, bude muset každý správce být schopen doložit po celou dobu zpracovávání patřičnou dokumentací.

Novinkou jsou i astronomické sankce za neplnění GDPR (daň za to, že nařízení platí v celé EU), jejich maximální výše je stanovena na 10,000 000 EUR nebo 2% celkového ročního obratu – podle toho, který ukazatel je vyšší. Přitom GDPR nedělá rozdíl mezi nadnárodními firmami a firmami malého či středního rozsahu!

Již nyní se na GDPR připravuje většina podnikatelů, protože přechod na novou úpravu si vyžádá několik kroků. Naši klienty žasnou, když jim vysvětlujeme, že ANO i jich se to SKUTEČNĚ TÝKÁ!

V této oblasti nabízíme:

  • provedení vnitřního auditu – zjištění typu zpracovávaných osobních údajů (jsou mezi nimi citlivé údaje?, nejsou některé údaje vyžadovány nadbytečně či v rozporu s rozhodovací praxi? atd.) množství zpracovávaných osobních údajů, postupů nakládání s nimi (kdo k nim má přístup, komu jsou předávány), jak je zajištěna jejich ochrana, jaké smlouvy správce uzavírá s klienty a obchodními partnery, jsou používány cookies, je prováděno profilování…
  • zajištění souladu s GDPR (compliance osobních údajů), a to
    1. vůči subjektům osobních údajů – (informace o zpracování v zákonném rozsahu, souhlas se zpracováním spolu s vymezením účelu zpracování, poskytnutí všech zákonem stanovených informací – pozor i zaměstnanec je subjektem osobních údajů) – úprava smluvní dokumentace
    2. úprava vnitřních mechanismů a vnitřních norem – úprava pracovních smluv či jiných typů smluv se spolupracovníky, úprava či vytvoření vnitřních předpisů o nakládání s osobními údaji, omezení přístupu k osobním údajům, úprava monitoringu zaměstnanců, dle typu podnikatele vypracování posouzení vlivu na ochranu OU, zavedení šifrování či úprava softwaru, zavedení řádné archivace
    3. úprava vztahů s obchodními partnery – úprava smluvní dokumentace ve vztahu k subjektům, kterým jsou OU zákazníků předávány ( zejména v případě datových úložišť, outsourcingu služeb – účetnictví, zasílatelství apod) a které mají dle GDPR postavení zpracovatele osobních údajů – zde je nezbytné do příslušných smluv zapracovat ustanovení o zpracování osobních údajů
    4. vůči dozorovému orgánu (Úřadu pro ochranu osobních údajů) – povinnost konzultace, oznámení jmenování Pověřence, povinnost hlásit únik osobních údajů a narušení bezpečnosti

Dovolujeme si upozornit, že pouze provedení všech výše uvedených kroků jako celku zaručuje soulad postupů podnikatele s požadavky GDPR. Už nyní je nezbytné započít s úpravami souhlasů se zpracováním osobních údajů – u souhlasů získaných dle stávající úpravy nelze zaručit, že budou akceptovatelné dle GDPR a že tyto údaje nebude nutné trvale odstranit.

Zvláštní pozornost je také třeba věnovat firmám poskytující cloudové služby, marketingové služby nabídky spotřebitelům a provozovatelům e-shopů, na které se Úřad pro ochranu osobních údajů zaměřuje v největší míře a nepodcenit přechod na novou úpravu. Obdobně se na nové GDPR musí ve zvýšené míře připravit i firmy poskytující software, neboť kompatibilita s GDPR bude pro jejich klienty nezbytná ( právo na přenos údajů, práva „být zapomenut“, právo na opravu, apod).

Areas of practice

Share Post

About Lawyer

Administrator