Pro Vás

Nejzásadnějším rozdílem týkající se ochrany osobních údajů  je skutečnost, že se ruší Směrnice a je nahrazena Nařízením. Směrnice měla doporučující charakter, kdy na každém státu byla forma implementace této Směrnice do národního řádu (u nás zákon č. 101/2000 Sb., o ochraně osobních údajů) načež Nařízení je k datu jeho účinnosti 25. 5. 2015 přímo aplikovatelné (tedy bez nutnosti transpozice Nařízení do národního řádu). I když se tedy očekává masivní novelizace souvisejících národních přepisů, tyto nesmějí odporovat nařízení GDPR.

 

Naši práci rozdělujeme do 3 vzájemně propojených fází:

  1. Mapování
  2. Analýza a hloubkový audit
  3. Implementace GDPR

 

1. Mapování

Nejprve posoudíme, jaké informace zpracováváte a jak splňujete v současnosti požadavky dle GDPR. Následně budeme posuzovat, jak podnik splňuje právní a technické požadavky ohledně GDPR.

 

2. Analýza a hloubkový audit

Audit společnosti formou analýzy

Zmonitorujeme činnost objednatele (Správce, či Zpracovatele) v oblasti ochrany osobních údajů. Tato práce spočívá v definici současného stavu, analýze systémových, organizačních a technických změn potřebných pro dosažení cílového stavu, tedy….

...souladu s novým Obecným Nařízením o ochraně osobních údajů (NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů).

Poté musíme zanalyzovat dopady, které změny, vyvolané nutností zajištění souladu, přinesou. U každého nedostatku je třeba posoudit, co je potřeba provést, aby byl tento nedostatek odstraněn. Je třeba také celkově posoudit rizika konkrétního zpracování. Musí se také zjistit riziko zpracování např. při posouzení oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR, posouzení slučitelnosti účelů dle čl. 6 odst. 4 GDPR, splnění požadavků dle čl. 25 GDPR atd. Dále je nezbytné posoudit ostatní bezpečnostní rizika.

 

3. Implementace GDPR

Zvolíme a navrhneme opatření k zajištění souladu, která jsou potřeba vzhledem k úrovni rizika zavést, a k ověření, jestli je nutné provádět posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Navrhneme vhodná technická a organizační opatření k zajištění integrity a bezpečnosti zpracování.

Obsahem této služby je aktivní asistence při zavádění vhodných technických a organizačních opatření, tak aby byla dosažena shoda zpracování osobních údajů s požadavky nařízení. 

Obsahem je taktéž vypracování interní dokumentace (např. skartační směrnice pokud je třeba), kontrolního záznamu, odpovědního dopisu, informativní dodatek, formulář o udělení souhlasu pro plnění informační povinnosti, záznamů o zpracování osobních údajů, vypracování Směrnice GDPR předkládané dozorovým orgánům aj. dle potřeb konkrétního správce. 

 

Pověřenec (DPO - Data Protection Officer)

Dále se pak nelze vyhnout nutnosti posoudit, jestli má podnik povinnost jmenovat pověřence pro ochranu osobních údajů. U malých a středních podniků k tomu nebude často docházet. Pokud podnik dojde k závěru, že musí pověřence jmenovat, měl by tak učinit ještě před zahájením samotné implementace navržených kroků z dopadové analýzy. Nabízíme možnost jmenovat nás externím nezávislým pověřencem pro ochranu osobních údajů, a to jako pověřence s expertní znalostí práva a praxe ochrany osobních údajů. Pověřenec tak bude moci dát podniku kvalifikované stanovisko k tomu, jestli jsou navrhovaná opatření dostatečná, či nikoliv.

Pověřenec poté bude monitorovat soulad zpracování osobních údajů s právem a schválenými koncepcemi, plnit funkci školitele zaměstnanců, poskytovat poradenství správci, vyhotovovat posudky při posouzení vlivu na ochranu osobních údajů, bude kontaktním místem pro subjekty údajů a Úřadem pro ochranu osobních údajů. 

Pověřenec bude zároveň vyhodnocovat v rámci konzultací námitky subjektů údajů, právo být zapomenut, právo na omezení osobních údajů, vysvětlovat principy pseudonymizace, anonymizace, a další, dle potřeb Správce.

 

Práva subjektů údajů

GDPR výrazně posiluje práva fyzických osob neboli subjektů údajů. Mezi tato práva patří zejména právo na přístup, opravu, výmaz, právo na omezení zpracování, přenositelnost údajů a právo vznést námitku. Každý subjekt má právo ke všem údajům, které má o něm k dispozici podnik, který zpracovává osobní údaje, tzn. i k nestrukturovaným údajům, které mohou tvořit přílohy e-mailů, nebo které jsou uloženy na různých interních a externích úložištích.

Osoby mají právo na přístup, tedy možnost ověřit si zákonnost zpracování jejich údajů. Toto právo lze omezit v zájmu národní nebo veřejné bezpečnosti, obrany a soudních řízení. Osoby mohou získat přístup k informacím o svém zdravotním stavu, k údajům ve své zdravotní dokumentaci.

GDPR také obsahuje právo být informován o tom, za jakým účelem se osobní údaje dané osoby zpracovávají nebo na jak dlouhou dobu jsou uchovávány, nemělo by se to ovšem dotknout obchodního tajemství nebo duševního vlastnictví.

V případě, že jsou uvedeny nesprávné údaje, může osoba, jejichž údajů se to týká, požádat společnost, která tyto údaje zpracovává, ať je napraví. Společnost zpracovávající údaje by měla umožnit podávat žádosti o nápravu nesprávných údajů online.

Nově mají osoby právo na to, aby podnik zpracovávající jejich osobní údaje, tyto údaje vymazal. Právo na výmaz (právo být zapomenut), je upraveno v článku 17 GDPR. Aby se údaje mohly vymazat, musí být splněna jedna z těchto podmínek:

  1. Osobní údaje již nejsou potřebné pro účel, pro který byly zpracovávány.
  2. Dojde k odvolání souhlasu, pokud je zpracovávání založeno na souhlasu a není jiný právní důvod pro zpracování těchto osobních údajů.
  3. Byla vznesena námitka proti zpracování.
  4. Osobní údaje jsou zpracovávány protiprávně.
  5. Rodiče nedaly souhlas se zpracováním osobních údajů svých dětí.

Pokud osoba nemá právo na výmaz, může vznést námitku. Správce, který zpracovává předmětné osobní údaje, potom musí omezit zpracování.

Novinkou je zavedení práva na přenositelnost údajů v článku 20 GDPR. Osoby mohou od správce, který zpracovává jejich údaje, získat své osobní údaje v běžně používaném a strojově čitelném formátu. Tyto údaje pak mohou osoby předat bez překážek jinému správci ke zpracování.

 

Co Vám hrozí?

Za porušení povinnosti stanovené GDPR mohou být správci ukládána opatření, jako například nařízení uvést zpracovávání do souladu se zákonem apod. V závažnějších případech i peněžitá pokuta. Ta má být v každém jednotlivém případě účinná, přiměřená a odrazující. Maximální peněžitá sankce je stanovena ve výši až 20 milionů eur nebo 4 % celosvětového ročního obratu za předchozí finanční rok. Pozor však i na možné sankce vyplývající z jiných právních předpisů, např. trestního zákona a z povinnosti členů statutárních orgánů jednat s péčí řádného hospodáře.

 

Pokuty a sankce

Úřad pro ochranu osobních údajů ukládá pokuty za porušení GDPR. Ukládání správních pokut je vymezeno v článku 83 GDPR. Pokuty mají být účinné, přiměřené a odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu. Zhodnotí se např. zda k porušení došlo úmyslně nebo z nedbalosti, jak dlouho porušení trvalo nebo jak bylo závažné. Při méně závažném porušení hrozí pokuta až do výše 10 000 000 euro nebo do výše 2 % z celkového celosvětového ročního obratu za předchozí finanční rok. Při závažnějším porušení hrozí pokuta až do výše 20 000 000 euro nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti za předchozí finanční rok. Hodnota pokuty bude stanovena jako vyšší z obou možností. Za závažnější porušení zpracování osobních údajů se považuje např. porušení základních zásad pro zpracování.

Podnik také může být nucen pozastavit zpracování osobních údajů, případně mu hrozí, že nebude moci zpracovávat osobní údaje vůbec.

Podnik, který zpracovává osobní údaje, také odpovídá podle článku 82 GDPR za hmotnou či nehmotnou újmu, kterou způsobil subjektu údajů. Odpovědnosti se může zprostit, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

 

 


© Všechna práva vyhrazena
Na našem webu používáme soubory cookies k personalizaci obsahu, inzerce a k analýzám jeho návštěvnosti. Více informací zde.

GDPR realizace
Při poskytování našich služeb nám pomáhají soubory cookie. Využíváním našich služeb s jejich používáním souhlasíte. Další informace Rozumím