Základní zásady GDPR (General Data Protection Regulation)

GDPR (General Data Protection Regulation) představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Základní zásady GDPR

V České republice ale i v rámci prakticky celé Evropské Unie je od 27.5.2018 účinná směrnice EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“).

GDPR (General Data Protection Regulation) představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel.

Současně GDPR zavádí řadu nových pojmů a kategorií. Vedle tradičních údajů, které jsou obecně chápány jako osobní, sem patří i údaje technického rázu (IP adresa nebo cookies). GDPR věnuje speciální pozornost zpracování  údajů hodných zvláštního zřetele, které definuje jako osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů zahrnuje genetické, biometrické údaje a osobní údaje dětí.

GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv – včetně práva „být zapomenut“. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer). Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, provádění interních auditů, poskytování odborného poradenství a komunikace s dozorovým orgánem, Úřadem pro ochranu osobních údajů.

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

V této souvislosti přináší nařízení GDPR následující základní zásady zpracování osobních údajů:

• Zákonnost (zpracovávat osobní údaje lze jen na základě jednoho z definovaných právních titulů, zpracování nesmí být v rozporu se zákonem)
• Omezení účelem (správce je oprávněn zpracovávat až na výjimky, osobní údaje pouze za účelem, za kterým byly shromážděny)
• Minimalizace údajů (zpracovány jsou pouze údaje, které jsou pro dosažení účelu nezbytné, a to pouze v nutném rozsahu)
• Přesnost (údaje musí být přesné a podle potřeby aktualizované)
• Zásada omezení uložení – povinnost správce vymazat nebo anonymizovat údaje, které již nepotřebuje
• Korektnost a transparentnost (zajišťovat co největší míru informovanosti subjektů údajů)
• Integrita a důvěrnost (nutno přijmout vhodná technická a organizační opatření pro zajištění integrity a důvěrnosti osobních údajů -osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
• Odpovědnost (zajištění souladu se všemi zásadami a být schopen toto prokázat)

Pokud přenecháte přípravu a zpracování ochrany osobních údajů na advokátní kanceláři, můžete očekávat, že Vám doporučí, připraví a provede zejména:

• Nastavení systému řízení bezpečnosti informace – a to zejména prostřednictvím směrnic, doporučení, úprav listin, postupů;
• Kontrolu dosavadních listin
• Nastavení podrobné interní GDPR směrnice (od používání aktiv společnosti obsahujících osobní údaje, po procesy likvidace osobních údajů, postupy zaměstnanců nakládajících s osobními údaji, atd.)
• Kontrolu kategorizace osobních údajů, nastavení účelů zpracování
• Analýzu zpracovávaných osobních údajů všech oddělení, jednání s konkrétními vedoucími zaměstnanci, nastavení postupů dle jejich požadavků
• Kontrolu a rozbor jednotlivých smluv
• Kompletní úpravy a navržení změn smluv se zpracovateli osobních údajů;
• Úpravy informování zaměstnanců (školení pro zaměstnance), nastavení postupů;
• Kompletní navržení řešení při bezpečnostních incidentech;
• Vytvoření vzorových listin při případy nutných souhlasů se zpracováním osobních údajů, výmazy osobních údajů, změny apod.;

Ke každému subjektu je nutný individuální přístup a vyhodnocení současné situace. Mezi základní postupy patří příprava a nastavení interní směrnice upravující postupy ve vztahu k nakládání s osobními údaji. V dalších oblastech (právní a organizační) následně je důležitá úpravu, jak ve vztahu k dodavatelům (dodatky smluv, smlouvy o zpracování osobních údajů, doložky mlčenlivosti, úprava pracovních smluv, prohlášení zaměstnancům apod.) tak pro jednotlivé úseky společnosti.

Následně by se měly postupně zavádět i systémové bezpečnostní politiky, nastavovat procesy hlášení bezpečnostních incidentů a to vše tak, aby to maximálním způsobem odpovídalo nejen praxi společnosti, ale zejména aby byl výsledek i GDPR compliance. Všechna řešení by měla být nastavena a upravena takovým způsobem, aby zcela odpovídaly potřebám společnosti.

JUDr. Barbora Grubnerová

Grubner & Partners s.r.o., advokátní kancelář