General Data Protection Regulation (GDPR)

Fakta a zkušenosti s GDPR

Fakt o povinnosti vyplývající z principu GDPR je popsáno mnoho.

GDPR označuje General Data Protection Regulation. Jedná se o nové regulatorní nařízení s platností v rámci celé Evropské unie. Vstoupí v platnost 25. května 2018 a přináší zásadní změny v problematice ochrany osobních údajů.

Organizace, které nebudou v souladu, se vystavují riziku pokuty až 20 milionů Euro, nebo až 4 % celosvětového obratu za minulý fiskální rok.

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Ty se budou týkat zejména těchto oblastí:

•    implementace záměrné a nezbytné ochrany dat

•    vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment

•    jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)

•    zavedení tzv. pseudonymizace osobních údajů

•    vedení záznamů o činnostech zpracování

•    konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

 

DPIA neboli posouzení vlivu na ochranu osobních údajů bude naprostou novinkou. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování.

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer).

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost pověřence jmenovat nastává především v těchto případech, pokud:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
  2. hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů

Ve všech těchto případech by měla být správci nebo zpracovateli nápomocna osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů. Tito pověřenci, bez ohledu na to, zda se jedná o zaměstnance správce, nebo externě poskytovanou službu, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem. Úkol ve veřejném zájmu, a výkon veřejné moci může být plněn nejenom státním orgánem, ale také jinými fyzickými nebo právnickými osobami, kterým je tato pravomoc svěřena na základě národních předpisů.

Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Závěrem, můžeme jen doporučit výše popsaný postup:

-          definovat strategii prokazování souladu s GDPR

-          definovat institut pověřence pro ochranu osobních údajů

-          nečekat, „že někdo, shora“ problematiku ochrany osobních údajů vyřeší za nás

-          mít stále na paměti sankční možnosti při nedodržování pravidel „souladu“

Máte dotaz? Potřebujete poradit? Napište nám!

Děkujeme za Váš dotaz. Brzy se Vám ozveme.

Kontaktní informace

O nás

Jsme skupinou, která se zabývá problematikou důvěryhodné archivace dokumentů v elekronické podobě. Zabýváme se elekronickým zpracováním dokumentů tak, aby byly naplněny evropské a státní legislativní normy a zákony. Konečně lze říci, že dokument v elektronické podobě má stejnou hodnotu jako v papírové! Čtěte více zde!