GDPR - POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ

Co je GDPR?

GDPR - Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (dále jen „GDPR“ nebo „Nařízení“), je nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016, vstupující v účinnost od 25. května 2018. GDPR bylo vytvořeno jako nový právní rámec ochrany osobních údajů v EU pro 21. století, s cílem posílit práva občanů EU při zacházení s jejich osobními údaji a sjednotit pravidla ochrany osobních údajů napříč EU. GDPR zavádí větší kontrolu subjektů údajů nad svými daty a nakládání s nimi. GDPR se týká všech firem a institucí, ale i fyzických osob a online služeb, které zpracovávají osobní údaje uživatelů. GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel a nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec ochrany osobních údajů, (dále jen „DPO“). Úkolem DPO bude dohlížet na řádné zacházení s osobními daty ve společnostech.

Co nového přinese GDPR?

Nařízením se bude muset řídit každý, kdo s osobními údaji při svém podnikání či činnosti pracuje a přinese rovnocennou vymahatelnost práva v celé EU a mnohem těsnější spolupráci dozorových orgánů.

GDPR stanovuje spoustu nových pravidel, jejichž dodržování bude muset každý správce i zpracovatel osobních údajů doložit po celou dobu zpracování.

GDPR dává subjektům údajů nová práva. Jedná se například o právo na informaci o svých právech, právo vznést námitku proti zpracování, či právo na přenositelnost osobních údajů od jednoho správce k druhému. Subjekt údajů by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány. Naprostou novinkou je právo na výmaz a jeho rozšíření na právo být zapomenut.

GDPR rozšiřuje definice osobních údajů. Nově tak budou osobním údajem i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele.

Nově zaváděná oznamovací povinnost v případě narušení bezpečnosti údajů, dává zpracovateli 72 hodin, na splnění svojí povinnosti, ohlásit únik či ohrožení zabezpečení osobních dat dozorovému orgánu (ÚOOÚ). V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Nařízení je nově postavené na principu tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů, bez ohledu na jejich velikost nebo počet zaměstnanců, zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Ty se budou týkat zejména těchto oblastí:

implementace záměrné a nezbytné ochrany dat
vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
zavedení tzv. pseudonymizace osobních údajů
vedení záznamů o činnostech zpracování
konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

V případě porušení, nezavedení či nepřipravenosti na nové Nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.
GDPR zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000,- EUR nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.
Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.
Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

Koho se GDPR týká?

Nařízení se týká všech fyzických i právnických osob, orgánů veřejné moci a institucí, které shromažďují nebo zpracovávají osobní údaje. Jedná se například o zpracovávání údajů o klientech, využívání osobních údajů pro marketingové účely, monitorování chování zákazníků, provozování kamerového systému nebo e-shopu. Jde o všechny organizace, které mají docházkový systém zaměstnanců, databázi zákazníků či uchazečů o zaměstnání, zálohují a archivují údaje, smlouvy nebo šifrují data. Charakteristická pro GDPR je jeho univerzální použitelnost ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska) a tudíž má sjednocující účinek pro právní úpravu ochrany údajů. Velikost subjektu zde nehraje žádnou roli.