Skip to main content

GDPR (General Data Protection Regulation) a jak na něj

Všichni o něm mluví, nikdo přesně neví, co od něj čekat, ale dotýká se nás všech. Obecné nařízení GDPR (General Data Protection Regulation) nabyde účinnosti 25. května 2018, což znamená, že se už i české společnosti pomalu probouzejí a začínají s hrůzou zjišťovat, co všechno je k souladu s GDPR zapotřebí. Panika a zmatek ale nejsou na místě, v první řadě je třeba pochopit, co vlastně GDPR je.

Obecné nařízení GDPR vzniklo z potřeby sjednotit ochranu osobních údajů fyzických osob při jejich zpracovávání a užití na území celé Evropské unie. Současně je GDPR reakcí na technologické změny a nové způsoby komunikace, které stávající legislativa nezahrnovala. Ochrana osobních údajů by podle GDPR měla být napříč EU jednotná, uplatňování a vymáhání nedodržování povinností by mělo být rovněž prostřednictvím GDPR sjednocováno. Ačkoliv se to zatím uživatelům ani firmám nezdá, cílem nařízení je důkladnější ochrana soukromí jedince.

Mnoho firem se nyní potýká zejména s nedostatečnou osvětou a informovaností o tom, co vlastně GDPR je a jaké požadavky na společnosti klade. Uchytila se totiž řada mýtů a chybných výkladů, což způsobuje mezi mnohými značnou nejistotu a obavy.

Přináší GDPR zásadní změny?

GDPR se primárně zabývá zpracováváním osobních údajů fyzických osob. Pokud společnosti braly v minulosti vážně stávající legislativu, konkrétně zákon o ochraně osobních údajů a kybernetický zákon, nemělo by jim GDPR přinést zásadní změny. Ukazuje se však, že ne všichni byli v dodržování této legislativy důslední, a proto začínají mobilizovat síly až pod hrozbou pokut, které jsou při nesouladu s GDPR často zmiňovány (může jít o pokutu ve výši 20 milionů eur či 4 % z celkového ročního obratu). Zde je však namístě zmínit, že cílem GDPR není likvidovat firmy horentními pokutami, na čemž se ostatně shodují právníci i zástupci Úřadu pro ochranu osobních údajů. Je důležité zmínit, že GDPR budou podléhat i společnosti mimo EU, které zpracovávají osobní údaje spotřebitelů z EU v souvislosti s nabídkou zboží nebo služeb.

 

Osobní údaj

Zřejmě největší změnou, kterou GDPR přinese, je rozšíření a sjednocení definice osobního údaje u fyzické osoby. Nicméně co je osobní údaj, jaké jsou náležitosti, za jakých předpokladů je lze zpracovávat, už bylo zakotveno v zákoně č. 101/2000 Sb. Osobní údaj je podle zákona a GDPR veškerá informace o fyzické osobě, podle které je možné identifikovat konkrétního člověka. S GDPR dochází k rozšíření pojmu osobní údaj o „technické“ údaje typu e-mailová adresa, IP adresa, cookies apod.

 

Titul zpracování

Aby mohla společnost v souladu s GDPR zmíněné osobní údaje zpracovávat, musí mít tzv. „titul zpracování“. Jedním z titulů je souhlas subjektu s každým zpracováním, ale GDPR připouští i další tituly, jako je například veřejný zájem, plnění povinností, plnění smlouvy, ochrana životně důležitých zájmů subjektu údajů či oprávněný zájem správce. Je tedy důležité si ujasnit na základě jakého titulu společnost data zpracovává, a zda na to má vůbec nárok. Každé zpracování je zapotřebí podložit jediným zákonným titulem – ty nelze libovolně zaměňovat, což byla dosud běžná praxe. Společnost má také povinnost informovat subjekt údajů, že jeho data zpracovává, za jakým účelem a v jakém rozsahu.

 

Informovaný souhlas

Podle nařízení je nezbytný také souhlas subjektu se zpracováním osobních údajů. Tento souhlas je jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, který dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Minulostí by se proto měly stát vynucené souhlasy, kdy je nákup zboží či služeb podmiňován souhlasem se zpracováním osobních údajů. Subjekt musí mít možnost svobodně se rozhodnout, zda souhlas poskytne, či nikoliv. Současně musí mít možnost udělení souhlasu kdykoliv zrušit.

 

Oznamovací povinnost

Velkým strašákem se pro mnohé společnosti stala oznamovací povinnost v případě bezpečnostního incidentu. Nově bude muset zpracovatel osobních údajů ohlásit ohrožení zabezpečení osobních údajů dozorovému orgánu, tedy v našem případě Úřadu pro ochranu osobních údajů. Incident musí být podle GDPR ohlášen nejpozději do 72 hodin od okamžiku, kdy se o něm zpracovatel dozvěděl. V některých případech dokonce bude povinností zpracovatele informovat i subjekty, kterých se případný únik dat týkal. Úroveň ochrany osobních údajů ze strany správců a zpracovatelů je často nedostatečná a může docházet k únikům. Proto je důležité věnovat pozornost také kyberbezpečnosti, která se díky GDPR dostává do středu zájmu mnohých společností. Toho také využívá spousta vychytralců, kteří na společnosti v souvislosti s GDPR tlačí, aby vše vyřešily pomocí jediného certifikovaného produktu. Ale zde je namístě obezřetnost – opravdu žádný „GDPR compliant“ produkt neexistuje. GDPR řeší především konkrétní procesy v konkrétní společnosti.

 

Kdo je DPO a kdo ho potřebuje?

Společnosti také tápou ohledně DPO (Data Protection Officer) neboli pověřence pro ochranu osobních údajů. DPO je osoba, kterou musí mít v souvislosti s GDPR orgány státní správy, obce a každá společnost, která rozsáhlým způsobem systematicky zpracovává velké objemy citlivých dat (banky, pojišťovny, personální agentury atp.). Pověřenec by měl znát problematiku ochrany osobních údajů a měl by mít zkušenosti s IT. V ideálním případě by měl být pověřencem člověk, který zná konkrétní firemní prostředí; může jít přímo o interního zaměstnance. Primární funkcí pověřence bude kontrola, zda probíhá zpracování osobních údajů ve společnostech podle zákona a komunikace s úřadem. Z toho tedy jasně vyplývá, že tuto funkci nemůže vykonávat stejná osoba, která vede oddělení zpracovávající data, jelikož by prakticky kontrolovala samu sebe. Jinak ale GDPR žádné konkrétní požadavky na DPO nejmenuje. Společností, jejichž primární obchodní činností není sběr dat a zpracování osobních údajů či rozsáhlé profilování zákazníků, se povinnost mít DPO netýká. Ale mohou jej samozřejmě mít dobrovolně.

 

Jak bude vypadat kontrola?

Nikdo neočekává, že budou všechny společnosti 25. května 2018 pokrývat veškeré požadavky GDPR. Přesto je zapotřebí, aby společnosti vyvinuly aktivitu a projevily zájem GDPR řešit, což bude v případě kontroly dozorovými orgány bráno jako polehčující okolnost. Navíc se ukáže až v praxi, jak budou patřičné úřady vyhodnocovat, zda jsou konkrétní opatření a procesy ze strany firem dostačující či nikoliv.

 

Jak začít s GDPR a jak jej co nejsnáze vyřešit?

Prvním krokem k souladu s GDPR je důkladná analýza toho, jaké osobní údaje společnost sbírá, proč tak činí a jak s daty nakládá po celý jejich životní cyklus. Tento výchozí přehled aktuálního stavu je pro stanovení dalších kroků nezbytný. Odborníci doporučují založit si na všechny tyto náležitosti obyčejný šanon, kde budou evidovány veškeré podrobnosti o tom, jak společnost pracuje s osobními údaji.


Back to top