Usnadněte si
podnikání a život

Už jste slyšeli o GDPR? Ne? Přesto se Vás může velmi týkat.

GDPR – je nové nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně osobních údajů – General Data Protection Regulation. Toto nařízení vstupuje v platnost ve všech státech Evropské unie 25. května 2018. Subjekty, kterých se nařízení bude týkat, se ovšem mohou obávat vysokých sankcí za nedodržení ustanovení GDPR, které mohou dosáhnout částky až 20 000 000 EUR nebo v případě podniku až do výše 4 % jeho celosvětového ročního obratu.

GDPR – je nové nařízení Evropského parlamentu a Rady EU č. 2016/679 o ochraně osobních údajů – General Data Protection Regulation. Toto nařízení vstupuje v platnost ve všech státech Evropské unie 25. května 2018. V současné době však nejsou jednoznačně a jasně interpretovány úplně všechny požadavky, i když se tomuto problému věnuje řada právníků a soukromých poradců, odpovědi na některé otázky přinese až praxe.

Subjekty, kterých se nařízení bude týkat, se ovšem mohou obávat vysokých sankcí za nedodržení ustanovení GDPR, které mohou dosáhnout částky až 20 000 000 EUR nebo v případě podniku až do výše 4 % jeho celosvětového ročního obratu.

Zpracováním se rozumí jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení, zkombinování, omezení, výmaz nebo zničení.

Subjektem údajů je vždy žijící fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji.

Úřad pro ochranu osobních údajů v České republice již vydal Základní příručku k GDPR, ve které definuje obecné pojmy a zodpovídá i konkrétní otázky.

Obecné nařízení o ochraně osobních údajů nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, a zároveň umožňuje je upravit na vnitrostátní úrovni. Jednotná pravidla pro zpracování osobních údajů budou platit i dál ve všech státech Evropské unie.

Důvodem zavedení nového právního rámce ochrany osobních údajů je skutečnost, že stávající prostředky, které jsou ke zpracování osobních údajů používány, již neodpovídají dnešní době.

 Obecným nařízením se bude muset povinně řídit

  • Subjekt, který zpracovává osobní údaje – správce osobních údajů
  • Subjekt, který pro správce osobní údaje zpracovává – zpracovatel
  • Dozorové úřady – Úřad pro ochranu osobních údajů

Správce i zpracovatel mohou být fyzické i právnické osoby.

Naopak nařízení se nevztahuje na činnosti fyzických osob, kdy jsou osobní údaje zpracovávány pro osobní a domácí činnosti, činnosti za účelem prevence, vyšetřování, odhalování a stíhání trestných činů.

Obecné nařízení pracuje ve dvou přístupech:

Princip odpovědnosti správce – nutno doložit soulad zásad zpracování (kodexy, osvědčení, certifikace, záznamy o činnostech zpracování).

Princip založený na riziku – správce musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k riziku či vysokému riziku porušení zabezpečení pro práva a svobody fyzické osoby.

Obecné nařízení přináší nové povinnosti:

Obecné nařízení je postaveno především na těchto zásadách:

  • zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně,
  • omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
  • minimalizace údajů- osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
  • přesnost - osobní údaje musí být přesné,
  • omezení uložení- osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Právní důvody zpracování osobních údajů znamenají legální oprávnění správce zpracovávat osobní údaje a to i pro různé účely. Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Některé osobní údaje mají takový charakter, že by mohly subjekt samy o sobě poškodit například v zaměstnání, ve společnosti, ve škole, případně způsobit diskriminaci subjektu. Nařízení přímo jmenuje konkrétní takzvané citlivé údaje. Při jejich zpracování platí ještě zvýšená ochrana. Jedná se především o osobní údaje, které se týkají rasového a etnického původu, údaje o politických, náboženských vyznání, členství v odborech, o zdravotním stavu, o sexuální orientaci.

Obecné nařízení zaručuje především práva subjektů údajů na ochranu jejich osobních údajů. Právě k tomuto účelu byla GDPR přijata.

Subjekt údajů (fyzická osoba) má právo být informován o zpracování jeho osobních údajů, především:

  • právo na přístup k osobním údajům,
  • právo na opravu, resp. doplnění,
  • právo na výmaz, právo na omezení zpracování,
  • právo na přenositelnost údajů,
  • právo vznést námitku,
  • právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování.

Právo na přístup k osobním údajům

Subjekt má právo získat od správce informaci (potvrzení), zda jsou informace zpracovávány a dále informace týkající se:

  • účelů zpracování,
  • kategorie dotčených osobních údajů,
  • příjemce nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánované doby, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • práva podat stížnost u dozorového úřadu,
  • veškerých dostupných informací o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování.

Právo na opravu, resp. doplnění nepřesných osobních údajů

Subjekt nemá povinnost aktivně vyhledávat nepřesné údaje a správce nemá povinnost požadovat aktualizaci, ale pokud subjekt opravu požaduje, správce má povinnost se jeho žádostí zabývat.

 

Právo na výmaz (být zapomenut)

Správce má povinnost zlikvidovat osobní údaje, pokud je splněná alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.

Právo na přenositelnost údajů

Nové právo subjektu údajů předat informace o osobních údajích ve strukturovaném, běžně používaném a strojově čitelném formátu získané správcem jinému správci, pokud je to technicky proveditelné. Platí společné podmínky:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
  • zpracování se provádí automatizovaně,
  • nesmí být nepříznivě dotčena práva jiných osob.

Právo vznést námitku

Právo vznést námitku proti zpracování osobních údajů je možno z důvodu

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany
  • zpracování osobních údajů je použito pro účely přímého marketingu nebo profilování.

Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování

Automatizované rozhodování je přípustné pouze s výslovným souhlasem subjektu údajů, případně je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem.

Např. v některých případech nelze učinit právní úkon (např. pokuta při dopravním přestupku, zamítnutí žádosti o úvěr), aniž by tento úkon nepřezkoumal člověk.

Pokud se jedná o žádost podle článků 15 až 22 Obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti a to bezplatně i podle článků 13 a 14 a 34.

Pokud by však žádosti subjektu byly nedůvodné nebo nepřiměřené, může správce uložit přiměřený poplatek, nebo žádosti nevyhovět.

Lhůtu lze ve výjimečných případech prodloužit o dva měsíce a subjekt musí být informován včetně důvodů.

Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení Obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy, případně se bude moci obrátit na soud.

Za každé porušení Obecného nařízení může a nemusí být udělena správní pokuta. Správce může být nejprve upozorněn na porušení Obecného nařízení, uděleno napomenutí nebo sjednání příslušné nápravy. Ukládání správních pokut musí být účinné, přiměřené a odrazující. Výše pokut je rozdělena do dvou kategorií dle porušení do:

  • výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik)
  • výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik).

Při udělování správních pokut je možno přihlédnout k polehčujícím nebo přitěžujícím okolnostem.

 

Subjekt údajů

  • je vždy žijící fyzická osoba, jíž se osobní údaje týkají
  • subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji.

Správce

  • zpracovává osobní údaje subjektu s plnou odpovědností za dodržování zásad zpracování
  • musí existovat řádný právní důvodu zpracování osobních údajů
  • osobní údaje musí dostatečně zabezpečit
  • pro účel a prostředky zpracování může být stanoveno i více správců
  • některé povinnosti se budou vázat na zpracování riziková nebo vysoce riziková
  • jeho povinností je sestavit si podrobnou analýzu svých slabých míst, analýzu svého administrativního systému, technických možností a také se věnovat vzdělávání zaměstnanců a tvorbě a dodržování směrnic
  • musí přijmout adekvátní bezpečnostní opatření
  • prvky šifrování nebo pseudonymizovaná podoba není vždy nutná, jedná se o důležitý bezpečnostní prvek
  • nesmí dopustit porušení zabezpečení osobních údajů, které by mohlo vést k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů
  • pokud dojde k porušení zabezpečení osobních údajů, musí správce tuto skutečnost ohlásit bez zbytečného odkladu, pokud možno do 72 hodin Úřadu pro ochranu osobních údajů (ledaže by porušení nevedlo k riziku pro práva a svobodu fyzických osob)
  • vyšší riziko bude znamenat porušení zabezpečení zvláštní kategorie osobních údajů (například údaje o zdravotním stavu, údaje pro přihlášení do elektronického bankovnictví), nebo došlo k porušení úmyslně nebo nedbalostně.

Zpracovatel

  • jiný subjekt, kterého správce pověřil zpracováním osobních údajů, přesto se správce nezbavuje zodpovědnosti za zpracování údajů
  • poskytuje dostatečné záruky vhodnými technickými a organizačními opatřeními
  • mezi zpracovatelem a správcem musí uzavřena písemná smlouva (v ní je stanoven předmět, doba trvání zpracování, povaha a účel, typ osobních údajů a kategorie subjektu údajů, práva a povinnosti správce)
  • nemusí se jednat o samostatnou smlouvu
  • zpracovatel může přijmout dalšího zpracovatele, ale jen s písemných souhlasem správce
  • pokud nastane porušení zabezpečení u zpracovatele, je povinnost ohlásit toto správci.

Pověřenec pro ochranu osobních údajů

Pověřence musí jmenovat správce a zpracovatel pokud:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí,
  • hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů,
  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

Mezi orgány veřejné moci (OVM) patří krajské úřady, ministerstva, obce, magistráty a jejich obvody, orgány státní správy, právnické osoby zřízené ze zákona, právnické, podnikající fyzické a fyzické osoby s povýšenou datovou schránkou na OVM a ostatní orgány státní moci. Od 1.7.2017 vznikl nově v platnost rejstřík OVM.

Každá obec nemá ovšem povinnost mít svého vlastního pověřence. I skupina podniků může jmenovat jediného pověřence, avšak musí být pro každý podnik snadno dosažitelný.

Pověřenec má především za úkol poskytovat informace a poradenství správci či zpracovateli, včetně zaměstnanců, kteří se na zpracování podílejí, monitoruje soulad zpracování s Obecným nařízením a spolupracuje s Úřadem pro ochranu osobních údajů.

Nejsou stanoveny přesné požadavky na vzdělání pověřence, musí však disponovat profesními kvalitami a znalostí práva v oblasti ochrany osobních údajů a dostatečně ovládat Obecné nařízení. Pro výkon funkce pověřence není nutná certifikace (do budoucna není vyloučena, i když na dobrovolné bázi).

Pověřenec musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele, musí mít přímý přístup k vedení organice, aby tak neexistoval další mezičlánek při předávání informací. Pověřencem může být i právnická osoba na základě smlouvy o poskytování služeb, ale vždy musí být stanovena konkrétní fyzická osoba, která bude funkci pověřence vykonávat.

V souvislosti s ochranou osobních údajů je potřeba také zmínit možnosti jejich předávání do zemí Evropské unie, případně do zemí mimo ni.

V rámci Evropské unie není z důvodu ochrany fyzických osob omezen ani zakázán a ani omezení, ovšem ne jakémukoli správci a kdykoli. Platí, že v zemích EU platí stejně vysoký standart ochrany osobních údajů a zároveň k jejich předání musí mít právní důvod.

Předání osobních údajů mimo země Evropské unie musí mít rovněž právní důvod a musí být zajištěna dostatečná právní ochrana. Většinu případů řeší Komise o odpovídající ochraně osobních údajů při Úřadu pro ochranu osobních údajů.

Možnosti předání osobních údajů do zemí mimo Evropskou unii jsou:

  • předání založené na rozhodnutí o odpovídající ochraně – komise rozhodne, že konkrétní země zajišťuje odpovídající úroveň ochrany, nevyžaduje se zvláštní povolení
  • předání založené na vhodných zárukách – existují vymahatelná práva subjektu a účinná právní ochrana
  • závazná podniková pravidla – vychází se z pravidel platících uvnitř správců, tvořících skupinu podniků nebo jejich uskupení a ty vykonávají společnou hospodářskou činnost
  • výjimky pro specifické situace, kdy nelze aplikovat jeden ze tří shora uvedených bodů.

__________________________________________________________________________

Jak Vám můžeme pomoci? TrimmTax spolupracuje s renomovanou pražskou advokátní kanceláří, s kterou Vám můžeme asistovat v rámci analýzy oblastí, kde se Vás bude GDPR týkat, a v rámci implementace potřebných změn. Nezapomeňte, že budete muset aktualizovat celou řadu dokumentů (především v personální oblasti) a že bude nutné nově nastavit či přinejmenším upravit procesy související se zpracováním osobních údajů.

Jsme Vám k dispozici.

Váš tým TrimmTax

02.01.2018

Přečteno: 294x