Blíže k Vám: | Brno | Praha

phone Hotline: 800-144-364

GDPR -  Obecné nařízení o ochraně osobních údajů

audit1Ochrana osobních údajů patří do oblasti zachovávání základních lidských práv a svobod. Zpracovatelem osobních údajů vzniká množství povinnosti spojených s jejich ochranou, mezi které hlavně patří posouzení všech vlivů na informační systémy, ve kterých se zpracovávají osobní údaje a zabezpečení tak přiměřených technických, organizačních a personálních opatření.

GDPR je zkratka Evropského nařízení General Data Protection Regulation (2016/679). Obecné nařízení GDPR vnáší do ochrany osobních údajů nová pravidla a hlavně posiluje jejich společenský význam. Rozděluje zpracovatelů do různých skupin, z čehož jim vyplývají různé povinnosti.

 

Hlavní změny

  1. Zpřísnily se pravidla při získávání souhlasu na zpracování osobních údajů:
    1. Souhlas musí být poskytnut s jasným projevem vůle, který je svobodným, konkrétním, informovaným a jednoznačným vyjádřením souhlasu dotčené osoby se zpracováním osobních údajů, které se jí týkají (například prostřednictvím elektronických prostředků nebo ústním prohlášením nebo označení políčka při návštěvě internetového webového sídla; v této souvislosti dáváme do pozornosti, že políčko nesmí být předem označené).
    2. Pokud se zpracování provádí na několik účelů, souhlas musí být udělen odděleně na všechny tyto účely.
    3. Zákaz podmiňovat souhlas se zpracováním osobních údajů, který není na plnění smlouvy, včetně poskytnutí služby nezbytný.
       
  2. Zpracování osobních údajů u osob mladších 16 let
    1. Pokud správce zpracovává osobní údaje dotčené osoby na základě jejího souhlasu, v souvislosti s nabídkou služeb adresovanou přímo nezletilému, je zpracování osobních údajů nezletilého zákonné, pouze pokud má nezletilý alespoň 16 let. Pokud má nezletilý méně než 16 let, takové zpracovávání je zákonné pouze za podmínky a v rozsahu, v jakém takový souhlas vyjádřil nebo schválil zákonný zástupce nebo zákonný opatrovník nezletilého. Takový správce je povinen vynaložit přiměřené úsilí, aby si v takových případech ověřil, že zákonný zástupce nebo zákonný opatrovník nezletilého vyjádřil souhlas nebo jej schválil, přičemž zohlední dostupnou technologii.
       
  3. Zpracování biometrických údajů
    1. Nová právní úprava upustila od oznamovací a registrační povinnosti informačních systémů. Podle této úpravy ochrany osobních údajů bude evidenční povinnost nahrazena vedením záznamů podle čl. 30 nařízení.
    2. V případě zpracování zvláštních kategorií osobních údajů ve velkém rozsahu bude správce nebo zpracovatel povinen posoudit vliv na ochranu osobních údajů a stanovit pověřence.V případě zpracování zvláštní kategorie osobních údajů ve velkém rozsahu bude provozovatel povinen posoudit vliv na ochranu osobních údajů a stanovit odpovědnou osobu.
    3. Přenos zvláštní kategorie osobních údajů třetí straně usazené ve třetí zemi, která nezajišťuje odpovídající úroveň ochrany osobních údajů, bude dovoleno pouze s předchozím výslovným souhlasem dotyčné osoby, pokud zvláštní zákon nestanoví jinak.
       
  4. Odpovědnost správce a zpracovatele
    1. Nová právní úprava upravuje vzájemný vztah společných správců (pokud není upraven ve zvláštním právním předpisům) podle čl. 26 nařízení, a to tak, že jim stanovila:
      1. povinnost uzavření jejich vzájemné dohody,
      2. transparentní určení příslušných odpovědnostních vztahů vůči zpracování osobních údajů a za plnění povinností v nařízení a v novém zákoně stanovených (důraz na práva dotčené osoby, plnění informační povinnosti),
      3. doporučení k určení kontaktního místa jednoho správce pro dotčené osoby (tím není dotčeno právo dotčené osoby na uplatnění jejích práv u každého a vůči každému správci),
      4. povinnost poskytnout základní části jejich vzájemné dohody dotyčným osobám.
    2. Nová právní úprava v souvislosti s ustanovením zpracovatele stanovila nové obsahové náležitosti smlouvy, jakož:
      1. předmět a dobu zpracování,
      2. povahu a účel zpracování,
      3. typ osobních údajů,
      4. kategorie dotčených osob,
      5. povinnosti a práva správce,
      6. oprávnění zpracovávat osobní údaje zpracovatelem pouze na základě zdokumentovaných pokynů správce; poučení a povinnost mlčenlivosti oprávněných osob i ze strany zpracovatele; povinnost zpracovatele provést všechna opatření přijatá při posouzení dopadu na ochranu údajů.
         
  5. Pověřenec pro ochranu osobních údajů
    1. Povinnosť ustanoviť pověřence vzniká:
      1. orgánům veřejné moci,
      2. subjektem, který působí ve veřejném zájmu,
      3. kdo zpracovává osobní údaje ve velkém rozsahu,
      4. hlavními činnostmi správce nebo zpracovatele jsou zpracovatelské operace, které vyžadují pravidelné a systematické sledování dotčených osob ve velkém rozsahu,
      5. hlavními činnostmi správce nebo zpracovatele je zpracování zvláštních kategorií údajů.
    2. Pověřencem může být i právnická osoba, pokud se zaručí identifikování jedné určené osoby odpovědné za zpracování osobních údajů u konkrétního provozovatele.
    3. Pověřenec musí disponovat odbornými kvalitami v oblasti ochrany osobních údajů a způsobilostí plnit úkoly pověřence; vzniká oznamovací povinnost vůči úřadu na ochranu osobních údajů.
       
  6. Vypracování bezpečnostních opatření
    1. Nová právní úprava zakotvila povinnost správce posoudit vliv na ochranu osobních údajů, který musí obsahovat:
      1. systematický popis plánovaných zpracovatelských operací a účely zpracování, včetně případného oprávněného zájmu jako právního základu podle čl. 6 odst. 1 písm. f) nařízení, který sleduje správce,
      2. posouzení nutnosti a přiměřenosti zpracovatelských operací ve vztahu k účelu,
      3. posouzení rizika pro práva a svobody dotčených osob ve vztahu k rizikovým zpracovatelským operacím a
      4. opatření k řešení rizik, včetně záruk, bezpečnostních opatření a mechanismů pro zajištění ochrany osobních údajů a na prokázání souladu s tímto nařízením přihlédnutím práva a oprávněné zájmy dotčených osob a dalších osob, kterých se to týká. Provedené posouzení dopadů provozovatelem je povinen přehodnocovat, a to alespoň tehdy pokud došlo ke změně rizika.
    2. Výsledek posouzení by měl být zohledněn při stanovení vhodných opatření, která mají být přijata s cílem prokázat, že zpracování osobních údajů je v souladu s nařízením. Pokud se na základě posouzení dopadů na ochranu údajů ukáže, že zpracovatelské operace zahrnují vysoké riziko, které správce nemůže zmírnit vhodnými opatřeními, pokud jde o nejnovější technologie a náklady na provedení opatření, měla by se před zpracováním uskutečnit konzultace s dozorovým úřadem.

  7. Povinné ohlašování porušení ochrany osobních údajů příslušnému Dozorovému úřadu 
    1. Správce je povinen oznámit porušení ochrany osobních údajů nejpozději do 72 hodin dozorovému úřadu. Pokud není možné oznámení podat do 72 hodin, mělo by se k později učiněnému sdělení připojit odůvodnění prodlení, přičemž informace lze poskytnout ve více etapách bez dalšího zbytečného odkladu.
       
  8. Výběr příslušného vedouciho Dozorového úřadu
    1. Správce, který podniká ve více zemích EU si může sám určit příslušný vedouci Dozorový úřad, kterému má podléhat.
    2. Určení vedoucího úřadu má vliv na ohlašování pověřence; nahlašování porušení ochrany osobních údajů; posouzení dopadů na ochranu osobních údajů a žádostí o předchozí konzultaci.