Zákony dlouho neposkytovaly dostatečný základ pro vymahatelnost práv a povinností souvisejících s ochranou osobních údajů. Obecné nařízení o Ochraně osobních údajů, známé také jako GDPR, vešlo v platnost 25. května 2018 a má za cíl hájit práva občanů EU proti nelegálnímu nakládání s jejich daty.
Každá firma, která s osobními údaji nakládá, musí mít dobře ošetřen soulad se zákonem. Problematika je však komplexní a řada společností stále žije v nejistotě, zda jsou její opatření pro GDPR dostatečná.
GDPR je legislativní nařízení EU, které od roku 2018 představuje nový, jednotný právní rámec ochrany osobních údajů v evropském prostoru.
Do roku 2018 pokrývala práva a povinnosti občanů směrnice Evropského parlamentu a Rady 95/46/EU o ochraně fyzických osob.
Směrnice určovala, do jaké míry je vymahatelná ochrana osobních údajů. Státy EU si zákonný předpis implementovaly do svých zákonů. Od jeho vydání v roce 1995 však nedošlo k jeho modernizaci a postupem času přestal odpovídat reálnému stavu společnosti.
Proto se na scéně objevilo nařízení GDPR, anglicky General Data Protection Regulation. Nové nařízení rozvíjí předpis Evropského parlamentu, státy EU ho však již nemusí implementovat do svých zákonů. Řídí se zásadou nadřazenosti, podle níž má evropské právo vyšší váhu než vnitrostátní předpisy.
Na koho se nařízení vztahuje? GDPR cílí na subjekty, které zpracovávají osobní údaje, týká se tedy jak fyzických osob, tak firem a institucí. Pokud ve firmě uchováváte jména, příjmení, e-maily, telefonní čísla nebo fotografie zaměstnanců či zákazníků, stáváte se správcem osobních údajů a musíte se řídit pravidly o tom, jak data využívat, uchovávat i zabezpečit.
Jménem správce může zpracovávat data také takzvaný zpracovatel osobních údajů. Stát se jím může fyzická či právnická osoba, agentura či orgán veřejné moci. Na rozdíl od správce osobních údajů zpracovatel může provádět jen takové operace, kterými jej správce pověří.
V případech, kdy dochází ke zpracování velkého množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, stanoví zákon institucím povinnost mít svého pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). Povinnost se týká například orgánů veřejné moci, správních a samosprávních úřadů nebo veřejných vysokých škol, ale také organizací, pro které jsou operace zpracovávání osobních údajů primární činností.
Osoba pověřence poskytuje poradenství správci nebo zpracovateli údajů a funguje také jako kontaktní místo pro dozorový úřad. Pravidelně se seznamuje s aktuální legislativou k GDPR, vyhodnocuje potenciální rizika v oblasti zpracování dat a komunikuje s dozorovým úřadem.
Abyste mohli data uchovávat, potřebujete souhlas od subjektů údajů, tedy od osob, které vám dávají svolení s jejich daty nakládat. Správce údajů musí být vždy schopen dokázat, že subjekt udělil souhlas dobrovolně a bez nátlaku.
Zákaznický souhlas má zpravidla podobu zaškrtnutí políčka ve formuláři, políčko nikdy nesmí být zaškrtnuto předem.
Pokud potřebujete souhlas ke zpracování osobních údajů pro více účelů, musí vám zákazník udělit souhlas pro všechny z nich. Přesně je specifikujte. Je také důležité vědět, že každý subjekt má právo svůj souhlas se zpracováním osobních údajů kdykoli stáhnout.
V případě nedodržení pravidel hrozí správci pokuta, která se v závislosti na vážnosti prohřešku a množství dat může vyšplhat až do stamilionů. Nejvyšší pokuty, které v souvislosti s GDPR zatím padly v Česku, byly v řádu statisíců.
Osobní údaje musí být vždy patřičně zabezpečeny a chráněny. Zpracování by mělo být prováděno transparentně, korektně a jen v nezbytné míře. Dotyčný subjekt přitom musí mít všechny potřebné informace, podané srozumitelně a jednoznačně. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat.
Když bylo v České republice uvedeno GDPR do praxe, často se stávalo, že správci vyžadovali od subjektů souhlas i v případech, kdy nebyl potřeba. V jakých případech není vyžadován? Jedná se například o situace, kdy je úkol plněn ve veřejném zájmu či při výkonu veřejné moci. Pokud se na správce vztahují právní povinnosti, nemusí být povolení vyžadováno.
GDPR zákon představuje rozsáhlou a složitou problematiku. K chybování dochází velmi často. Pokud si chcete být naprosto jistí, že s daty nakládáte podle zákona, obraťte se na odborníky, kteří disponují aktuálními informace a zkušenostmi v oboru.
Potřebujete pomoc s implementací GDPR? V NGSS nabízíme širokou škálu služeb zabývajících se ochranou dat. Stačí si domluvit konzultaci a rádi vás provedeme konkrétním postupem. Přečtěte si, jaké služby poskytujeme.