Praktická implementace „GDPR“ do firem
Dne 25. května 2018 nabývá účinnosti nové nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (tzv. obecné nařízení o ochraně osobních údajů-GDPR). Toto nařízení nově zavádí princip tzv. zodpovědnosti, jenž spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Ty se budou týkat těchto níže uvedených oblastí:
1. Implementace záměrné a nezbytné ochrany dat,
2. vypracování posouzení vlivu na ochranu osobních údajů,
3. jmenování pověřence pro ochranu osobních údajů,
4. zavedení tzv. pseudonymizace osobních údajů,
5. vedení záznamů o činnostech zpracování,
6. konzultace s dozorovým orgánem (Úřadem pro ochranu osobních údajů) před samotným zpracováním osobních údajů,
7. posouzení vlivu na ochranu osobních údajů je pak naprostou „právní novotou“. Společnosti jsou povinni jej vypracovat, pakliže provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. V této souvislosti můžeme jmenovat např. činnost komerčních bank, pojišťoven, leasingových či jiných finančních institucí.
Aby správce mohl doložit soulad s GDPR, měl by přijmout interní koncepce (směrnice), provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů. Pseudonymizací se pak rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům. Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány. Tyto záznamy o činnostech musí obsahovat následující informace:
a. Jméno a kontaktní údaje správce a zpracovatele,
b. účely zpracování,
c. popis kategorií subjektů údajů a kategorií osobních údajů,
d. kategorie příjemců, kterým byly nebo budou údaje zpřístupněny,
e. informace o mezinárodním předávání osobních údajů,
f. lhůty pro výmaz jednotlivých kategorií údajů,
g. popis technických a organizačních opatření.
Exempce (výjimky) z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, jestliže zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje. Více konkrétních a praktických informací k aproximaci GDPR např. v bytových družstvech a SVJ lze dohledat např. na: http://www.rkjuris.cz/problematika-gdpr-v-svj-a-bytovych-druzstvech-61).
V Praze dne 3. 5. 2018
Mgr. Petr Jezdinský, právník