O GDPR

Evropské nařízení General Data Protection Regulation (GDPR) přináší nová pravidla ochrany osobních údajů. Od května 2018 mají občané větší kontrolu nad svými údaji a podniky prospěch z rovných podmínek. Zákon 101/2000Sb je minulostí. Musíte však plnit celou řadu nových povinností, např. vést záznamy o zpracování.

GDPR přináší celou řadu nových povinností

Díky EU nařízení o ochraně osobnách dat vznikají nové adaptační zákony a ruší se ty, co souvisí se zákonem 101/2000Sb. Na mnohé organizace čeká řada nových povinností, jako např.:

• Hlášení incidentů na ÚOOÚ

• Audit Posouzení vlivu na ochranu osobních údajů"

• Jmenování Pověřenec pro ochranu osobních údajů

Jakýkoliv subjekt, jehož data ukládáte bude mít od 25. května 2018 obrovská práva, např. být zapomenut. Zcela likvidační jsou pokuty.

Jak GDPR vzory pomohou se zajištěním shody v oblasti zpracování osobních údajů?

GDPR Dokumentaci jste povinni předložit ÚOOÚ (Úřadu pro ochranu osobncíh údajů na vyžádání). Řádně zdokumentovat, že vaše organizace splňuje nová pravidla pro ochranu osobních údajů, je tak jeden z nejnáročnějších požadavků.

Jakmile u vás bude z jakéhokoliv důvodu zahájena kontrola z dozorového úřadu ÚOOÚ, jeden ze základních požadavků GDPR, se kterým budete konfrontováni, je řádné zdokumentování zpracovávaných osobních údajů, jejich účelů a záznamů o činnostech.

Jedna z nových, ale zároveň také klíčových povinností je např. vést záznamy o činnostech zpracování. Zdokumentovat pro jaké účely, jaké údaje a za jakých podmínek zpracováváte. Potřebujete mít správně nastavené vnitřní směrnice, seznámení zaměstnanců s pokyny v oblasti zpracování a řadu dalších dokumentů.

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR) řadě organizací ukládá povinnost vytvořit pozici pověřence pro ochranu osobních údajů a obsadit ji kvalifikovanou osobou.

Pověřencem pro ochranu osobních údajů může být určen interní zaměstnanec, stejně jako externí odborník. Skupina podniků nebo veřejnoprávních subjektů může navíc jmenovat jednoho pověřence, který bude úkoly vyplývající z GDPR plnit pro všechny z nich.

Organizace však vždy musí zajistit, aby pověřenec pro ochranu osobních údajů nebyl ve střetu zájmů, tzn. aby sám o některé zpracování rozhodoval a nastavoval jeho konkrétní parametry.

Je vaše právní povinnost jmenovat pověřence pro ochranu osobních údajů? Nebo spadáte do kategorie těch, kterým je to "doporučeno" jako součást GDPR compliance programu? Subjektů, pro které vyplývá povinnost jmenovat pověřence pro ochranu osobních údajů přímo z právních předpisů, především GDPR, nebo pro které to je z různých způsobů vhodné a výhodné, bude celá řada. Jmenovitě:

(1) Veřejná správa

Orgán veřejné správy nebo samosprávy a další veřejné instituce, které vykonávají veřejnoprávní agendu či vedou správní nebo obdobné řízení. Pověřence tak musí jmenovat:

• Ministerstva

• Kraje, statutární města, obce, školy

• Bezpečnostní složky (Policie České republiky, státní zastupitelství, celní správa)

• Ústřední správní úřad či nezávislý orgán veřejné moci (Státní úřad inspekce práce, Český statistický úřad, ČNB ...)

• Samosprávné komory (Česká lékařská komora, Komora auditorů, Exekutorská komora či Česká komora architektů ...)

(2) Organizace a firmy

Organizace, která provádí rozsáhlé a pravidelné zpracování osobních údajů včetně monitorování a profilování dotčených osob. Nevytvoření pozice pověřence pro ochranu osobních údajů, její nesprávné organizační zařazení nebo její obsazení osobou, která nemá dostatečné znalosti práva a praxe zpracování osobních údajů, může být posouzeno jako porušení GDPR pod hrozbou sankce až 10 milionů nebo 2 % z celosvětového obratu dané skupiny podniků, podle toho, která částka je vyšší.

Tato nejširší kategorie zahrnuje společnosti napříč odvětvími:

• Telco operátoři

• Personální agentury

• Dodavatel či distributor energií

• Provozovatelé věrnostních systémů

• Bytová družstva, správy bytových fondů

• Banky, Pojišťovny, nebankovní poskytovatel úvěrů

• Poskytovatel cloudových nástrojů pro rozsáhlé zpracování dat

• Provozovatelé kamerových, či zabezpečovacích systémů, které zachycují veřejné prostory

• eShopy, online reklamní nástroje využívající cookies, či jiné nástroje pro sledování uživatelů

(3) Zdravotnictví

Do této kategorie spadají všechny instituce, jejichž činnost spočívá ve zpracování citlivých osobních údajů (o zdravotním stavu, biometrických či genetických údajů, údajů o rasovém či etnickém původu, o sexuální orientaci ...) Pověřence tam musí mít

• Zdravotní pojišťovny

• Genetické laboratoře

• Střední a větší zdravotnické zařízení (poliklinika, nemocnice)

• Provozovatel systémů pro biometrickou identifikaci či autentizaci

(4) Ostatní organizace a instituce

Pověřence pro ochranu osobních údajů mohou jmenovat i další organizace, kterým tato povinnost přímo z právní úpravy nevyplývá. Vytvoření funkce pověřence a její obsazení kvalifikovaným zaměstnancem podle požadavků GDPR může být důležitou součástí compliance programu, a přispět tak k doložení souladu činnosti organizace s právními požadavky.

Dobrovolné jmenování pověřence pro ochranu osobních může být významným pozitivním signálem o tom, že daná organizace klade důraz na řádné zpracování osobních údajů a zajištění jeho souladu s právními požadavky jak pro klienty, tak pro zaměstnance či dodavatele dané organizace. 

Dostatečně nastavený a v praxi vymáhaný compliance program může být i nástrojem pro zamezení trestní odpovědnosti dané právnické osoby.

V jakých případech je doporučeno jmenováním pověřence jako pozitivní signál k ÚOOÚ?

• Všude tam, kde existuje větší riziko útoku na dat

• Při zpracování osobních dat (klientů, zaměstnanců) ve větším rozsahu

• Ve vysoce regulovaném prostředí, např. banka se zaměřením na korporátní klientelu

• U obecně citlivých informací (obchodní tajemství, informace chráněné zvláštní mlčenlivostí)

• U skupiny menších podniků, na které jednotlivě povinnost jmenovat pověřence nedopadá, ale které v souhrnu provádějí komplexní a rozsáhlejší zpracování dat

Každá organizace, která pověřence jmenuje, je odpovědna nejen za to, že vybrala dostatečně kvalifikovanou osobu, ale že pověřenci přidělí zdroje k tomu, aby svoji kvalifikaci i nadále udržoval a rozvíjel.

Požadavky na pozici Pověřence

Pověřenec pro ochranu osobních údajů musí mít alespoň základní znalosti práva i praxe v oblasti zpracování osobních údajů. A měl by mít i základní schopnost orientace v informační bezpečnosti, nastavování a řízení procesů a provádění auditu. Zdá se to jako náročný úkol, ale na tuto pozivi vás připravíme v mezinárodně certifikovaném kurzu, který nevyžaduje žádné vstupní předpoklady.

Agenda Pověřence pro ochranu osobních údajů

Co vše spadá do agendy pověřence pro ochranu osobních údajů? Z titulu Pověřence pro ochranu osobních údajů na vás může organizace uložit řadu úkolů. Participace na vzdělávání zaměstnanců, revize interních směrnic a smluv (které se týkají zpracování osobních údajů). Vedení záznamů o zpracování a reportování případů, kdy došlo k porušení bezpečnosti dat na ÚOOÚ.

Další agenda:

• Zástupce pro komunikaci s ÚOOÚ

• Kontaktní bod pro všechny zainteresované ve zpracování osobních údajů

• Monitorování aktivit v souvislosti s dodržováním GDPR, spolupráce na auditech

• Poskytování interního "poradenství" zpracování osobních údajů pro vedení, ale i zaměstnance

Postavení Organizace, Správce, Zpracovatele a Pověřence

Jmenováním pověřence pro ochranu osobních údajů však povinnosti organizace pro zajištění souladu s GDPR nekončí, ale spíše začínají. Organizace, ať už správce nebo zpracovatel osobních údajů, musí mj. zajistit, že pověřenec bude včas a v dostatečném rozsahu zapojen do všech procesů mající vztah ke zpracování osobních údajů a nastavování jeho parametrů, že bude mít dostatečné zdroje k plnění svých úkolů, že bude při jejich plnění nezávislý a že bude mít ve věcech ochrany dat přístup k vedení organizace.