GDPR – ochrana osobních údajů
Na této stránce budeme zveřejňovat informace, které se týkají nařízení Evropského Parlamentu – Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.
GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji
– zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.
GDPR platí v celé EU jednotně od 25. května 2018. V Česku tak nahrazuje do té doby platnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli.
S GDPR dochází také k rozšíření definice osobních údajů. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu nebo tzv. cookie v zařízení uživatele a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem (IČ, DIČ).
Jaké povinnosti ukládá GDPR institucím a firmám
Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:
Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
Tyto záznamy o činnostech musí obsahovat následující informace:
– jméno a kontaktní údaje
– správce a zpracovatele včetně jména DPO (Data Protection Officer) – pokud je jmenován
– účely zpracování
– popis kategorií subjektů údajů a kategorií osobních údajů
– kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
– informace o mezinárodním předávání osobních údajů
– lhůty pro výmaz jednotlivých kategorií údajů
– popis technických a organizačních opatření
Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních
údajů a v umožnění přístupu občanů k jejich údajům.
Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.
Co je vlastně osobní údaj?
Osobními údaji jsou veškeré informace, které samy o sobě nebo v kombinaci s jinými informacemi vedou nebo mohou vést k jednoznačné identifikaci fyzické osoby. Tedy jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Příkladem osobního údaje tedy může být:
jméno, adresa
poloha
elektronický identifikátor
zdravotní údaje
služební e-mail a telefon vedoucí k identifikaci osoby, apod
Koho se nařízení týká a jaké povinnosti GDPR zavádí?
Nařízení se týká všech subjektů, které pracují s osobními údaji jak svých zaměstnanců, tak klientů a zákazníků. Z toho vyplývá, že osobní údaje eviduje každá organizace a je povinna údaje zabezpečit a chránit. Na velikosti organizace nezáleží. GDPR definuje celý souhrn opatření, které organizace musí zavést, aby splnila dané nároky:
zabezpečení organizačními a technickými prostředky veškerá zpracovávání osobních údajů, například pomocí vhodného šifrování a softwarové pseudonymizace osobních údajů (nebo-li skrytí identity)
rozšíření smluv se všemi zpracovateli osobních údajů o nově vyjmenované povinné náležitosti, uvedené v nařízení přijmout uvnitř organizací kontrolní mechanismy, ať již manuální nebo automatizované, zajišťující zákonné zpracovávání osobních údajů
přijmout vnitropodnikové směrnice a postupy pro posuzování vlivů a ohlašování rizikových zpracovávání osobních údajů Úřadu pro ochranu osobních údajů
zajistit pro vybrané organizace tzv. pověřence ochrany osobních údajů (DPO – Data Protection Officer), speciálního pracovníka, který bude dohlížet nad zpracováváním osobních údajů a komunikací s Úřadem pro ochranu osobních údajů (hlášení úniků nebo pokusů o únik)na základě žádosti zajistit fyzickým osobám:- možnost zjištění rozsahu a účelu evidence osobních údajů v dané organizaci- umožnit přenositelnost osobních údajů poskytnutím jejich exportu ve strojově čitelném formátu – tzv. „právo být zapomenut“, což znamená smazání všech osobních údajů, které organizace eviduje (pokud daný účel není podmíněn nadřízené legislativě)