Nové termíny, povinnost vést záznamy o činnostech nebo ohlašování každého závažného případu porušení zpracování osobních údajů. To jsou některé novinky, které od 25. května bude muset každá instituce vést v patrnosti. GDPR v kostce.
Stručný shrnutí a přehled nových povinností týkajících se GDPR přinášíme v následujícím článku.
Přestože osobní údaje jsou v Česku zákonem chráněné již téměř dvacet let, vzniká u mnoha lidí pocit, že Obecné nařízení o ochraně osobních údajů přináší závratné změny. Není tomu tak. GDPR v podstatě navazuje na již existující zákon, v některých bodech jej zpřesňuje nebo rozšiřuje a novinek je jen několik. Jaké to jsou?
Terminologie
Nařízení zavede do praxe některé termíny, které mohou být pro neznalé matoucí:
- zpracování osobních údajů = operace prováděné se získanými osobními údaji, nejde tedy o každé použití jakéhokoliv údaje nějakého člověka v jakékoliv situaci,
- subjekt údajů = člověk, o jehož údaje jde,
- správce = ten, kdo osobní údaje zpracovává,
- zpracovatel = ten, který je pověřen správcem zpracovávat osobní údaje.
Záznamy o činnostech
Všechny instituce bez výjimky budou od května muset vést záznamy o činnostech, které provádějí s osobními údaji. Doporučujeme vytvořit si pro tyto účely formulář a do nich informace požadované ve článku 30 GDPR zapisovat.
Ohlašovací povinnost porušení zabezpečení
Stejně tak bude pro všechny povinné ohlásit každý závažný případ porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů podle článku 33 GDPR, a to do 72 hodin od jeho zjištění.
Kodexy a osvědčení
Pokud v rámci činnosti nějaké společnosti dochází ke stejnému nebo podobnému zpracovávání osobních údajů, doporučuje Obecné nařízení pro ochranu osobních údajů vypracovat pro takové činnosti kodex chování. Podobné kodexy, stejně jako například osvědčení o ochraně osobních údajů, však nebudou povinné.
Pověřenec pro ochranu osobních údajů
Úřady, školy, nemocnice a další instituce rozhodující o právech občanů budou muset mít od května svého pověřence pro ochranu osobních údajů. Jde osobu, která se problematice ochrany osobních údajů bude naplno věnovat. Povinnostmi tzv. DPO (Data Protection Officer) bude zejména zpracovávání osobních údajů v konkrétní instituci kontrolovat a upozorňovat na případné nedostatky.
Konzultace s Úřadem pro ochranu osobních údajů
ÚOOÚ připravuje tzv. seznam rizikových operací. Půjde o činnosti související s rozsáhlejším zpracováním osobních údajů, například profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě. Podobně rizikové může být například zavádění nových technologií do takového zpracování. Pro všechny takové případy GDPR doporučuje konzultace s Úřadem.
Sankce
Jedním z největších strašáků Obecného nařízení pro ochranu osobních údajů jsou pokuty ukládané při jeho nedodržování, které dosahují astronomických částek. Na pozoru by se však měly mít především velké nadnárodní korporace. Obecně pak bude platit, že sankce by měly být v každém případě přiměřené, nikoliv likvidační.
Jak tedy postupovat při zavedení procesů pro splnění požadavků GDPR si připomeňte pomocí naší infografiky
Pokud v rámci přípravy na 25. květen narazíte na nějakou další oblast, která je pro vás nová, a nebudete si s ní vědět rady, neváhejte se na nás obrátit. Rádi s vámi vše probereme.
