GDPR

GDPR je nové Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, zkráceně GDPR), které přijal Evropský parlament v dubnu 2016 a jeho účinnost byla nastavena na 25. května 2018. Je závazné bez implementace do legislativy. Přináší novinky v oblasti ochrany osobních údajů jak v rámci EU, tak i mimo ni.
Toto nařízení je jednou z nejrozsáhlejších evropských regulací v poslední době, které nahradí směrnici 95/46/ES a zákon č, 101/2000 Sb. o ochraně osobních údajů. Jeho cílem je zvýšit úroveň ochrany osobních údajů občanů v Evropské Unii proti neoprávněné manipulaci s jejich osobními údaji a daty.
GDPR se týká všech institucí, firem i jednotlivců, kteří zpracovávají osobní údaje a tudíž se dotkne všech oblastí podnikání, veřejné správy, zdravotnictví, pojišťoven, internetových obchodů, výroby i různých služeb.
Mezi nejvýznamnější změny patří oblasti týkající se souhlasu se zpracováním (souhlas se zpracováním, ale i právo souhlas kdykoliv odvolat), odpovědností správců a záměrné ochrany osobních údajů (ochrana tzv. by design). Dále sem patří rozšíření vymezení ochrany osobních a citlivých údajů, zesílení práva subjektů údajů (osobní údaje musí být nově přenositelné, právo klienta „být zapomenut“, tzn. právo na smazání všech osobních údajů) a povinnost přiměřenosti (minimalizace objemu osobních dat). Důležitá je oznamovací povinnost v případě porušení zabezpečení. Hlášení bezpečnostních incidentů se provádí orgánu kontroly a v některých případech i subjektům osobních údajů (v případě, kdy únik dat představuje vysoké riziko pro práva a svobody klienta), nejpozději však do 72 hodin od zjištění úniku.
Z výše uvedeného vyplývá, že společnosti budou muset vynaložit větší než malé množství úsilí (s tím i spojené finanční náklady), aby splnily podmínky GDPR.
Sankce za nedodržení tohoto nařízení mohou být dle charakteru a závažnosti incidentu až 20 milionů Eur, nebo 4 % z celosvětového ročního obratu v závislosti na typu subjektu. Tato sankce se jeví jako dobře opodstatněná motivace k dodržování GDPR.

DPO

Správce nebo zpracovatel osobních údajů bude mít povinnost jmenovat pověřence pro ochranu osobních údajů (Data Protection Officer, ve zkratce DPO), který má za úkol dohlížet na dodržování GDPR a  tím zároveň chránit jak firmu, tak i její klienty.
Tato povinnost bude platit především v případech, kdy zpracování osobních údajů provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů, dále pak v případě, kdy hlavní činnost správce nebo zpracovatele spočívají v pravidelných a systematických monitorováních osob a nakonec i v případě, kdy správce rozsáhle zpracovává osobní údaje zvláštních kategorií údajů (např. osobní údaje týkající se rozsudků v trestních věcech a trestných činech nebo genetické či biometrické údaje).
Pověřenec musí být jmenován na základě svých odborných znalostí (práva, IT technologií, mít praxi v oblasti ochrany údajů, bussinesu a vnitřním uspořádání správce). Musí mít schopnost plnění úkolů, být informovaný, důkladně znát Obecné nařízení, být nezávislý a mlčenlivý. Pověřenec má kromě jiných povinností úlohu monitorovat soulad s Obecným nařízením. Může být zaměstnancem správce či externím dodavatelem. Spolupracuje s dozorovým úřadem.
Za porušení povinnosti jmenovat pověřence může být uložena pokuta až do výše 10.000.000 eur nebo u podniků až do výše 2 % celosvětového celkového ročního obratu za předchozí finanční rok, podle toho, která hodnota je vyšší.
Způsobů, jak nastalou situaci vyřešit, je několik, včetně možnosti nasmlouvat si DPO jako placenou službu odborné společnosti.
Bližší seznámení s Obecným nařízením a s možnostmi řešení přinesou naše semináře, na které se můžete přihlásit.

Tel.: +420 234 723 584, +420 603 829 210
info@sluzbyproveduavyzkum.cz
Copyright Jizu.cz © 2017. All Rights Reserved.