Jaké jsou povinnosti?

Pro účely doložení souladu s GDPR musí správce zavést příslušná procesní a bezpečnostní opatření, pseudonymizaci, minimalizaci zpracování osobních údajů, požadovat pouze data potřebná k danému účelu, zajistit transparentnost, korektnost, zákonnost a možnost přístupu fyzických osob ke svým údajům.

Správce a zpracovatel má informační povinnost
Správce údajů má nově oznamovací povinnost v případě narušení bezpečnosti uchovávání údajů do 72 h od chvíle, kdy se o narušení dozvěděl. Také má v některých případech povinnost informovat osoby a subjekty, jejichž data unikla.

GDPR dále zavádí následující opatření, což jsou povinnosti správců a zpracovatelů:

  • vedení záznamů o zpracovávání údajů
  • analýza/interní audit ohledně zpracovávání osobních údajů
  • implementace ochrany dat – např. pořízení hardwarové a softwarové techniky
  • šifrování dat, zavedení pseudonymizace (zpracování údajů tak, že nejdou přiřadit konkrétnímu člověku bez nutnosti zjištění dalších údajů)
  • jmenování pověřence pro ochranu osobních údajů (DPO – Data Protection Officer)
  • vypracování posouzení vlivu na ochranu osobních údajů (DPIA – Data Protection Impact Assessment)

Správci a zpracovatelé budou muset vést záznamy za zpracování dat, za které jsou odpovědni. Výjimka je pro firmy do 250 zaměstnanců, pokud zpracování osobních údajů nepatří mezi jejich hlavní činnosti, není u nich ohroženo právo a svoboda fyzických osob, případně tyto organizace nezpracovávají osobní informace.

Jak zabezpečit práva subjektů údajů:

  • přijmout vhodná technická a procesní opatření
  • pseudonymizace
  • vhodná technická opatření
  • umožnit subjektům údajů sledovat jejich data
  • šifrování dat

U technických opatření poté:

  • zajistit příslušná technická opatření s přihlédnutím k aktuálnímu stavu
  • zajistit odolnost systémů a zpracování
  • zajistit obnovu dat a přístup k nim v případě incidentů
  • pravidelné testování a hodnocení účinnosti

Sankce za nedodržení pravidel GDPR
Nařízení je právní akt EU, který je pro členské státy závazný, přímo použitelný a unifikační a v případě jeho nedodržení či porušení hrozí sankce, která může být pro firmu až likvidační. Sankce a vymahatelnost jsou ve všech státech EU stejné.

Osobní data jsou cenné strategické informace. Ne vždy si uvědomujeme následky jejich používání a shromažďování. Ochrana těchto dat je nezbytná zejména v současném globálním světě a k tomu chce přispět i GDPR.

GDPR zavádí finanční pokuty až do výše 20 milionů eur nebo 4% z celkového ročního obratu společnosti, kdy je vybrána ta vyšší možnost. Pokuta se neodvíjí od velikosti firmy, ale přihlíží se k faktorům, jako je míra způsobených škod, kroky podniknuté ke zmírnění škod, závažnost a doba, po kterou docházelo k porušení nařízení a k dalším faktorům. Společnostem navíc může hrozit i žaloba ze strany fyzické osoby nebo osob, jejichž práva byla porušena s nárokem na náhradu škody. Nemalým rizikem je pak ztráta důvěry vůči společnosti.

DPO (Data Protection Officer) – Pověřenec na ochranu osobních údajů
Nově vzniklá povinnost je jmenovat pověřence pro ochranu osobních údajů. DPO by měl mít na starosti sledování souladu zpracování osobních údajů a dodržování principů GDPR. Měl by provádět interní audity, proškolovat zaměstnance.

Kdo bude potřebovat DPO?

  • Zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí
  • Hlavní činnost správce či zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné monitorování subjektů údajů
  • Hlavní činnosti správce či zpracovatele spočívají v rozsáhlém zpracování údajů zvláštních kategorií a osobních údajů týkajících se trestní problematiky

DPO také musí jmenovat provozovatelé webových služeb, kteří profilují uživatele na základě behaviorálního marketingu, který je významnou součástí obchodní strategie. DPO může být jmenován interně nebo je možné, aby plnil své úkoly externě na základě smlouvy.

Jaké náležitostí musí DPO splňovat? DPO by měl být jmenován na základě svých profesních kvalit, zejména na základě praxe v oblasti auditů bezpečnosti dat.