GDPR aneb revoluce v ochraně osobních údajů
V dnešní digitální době mají data nesmírnou hodnotu a přitom jejich ochrana a způsob nakládání s nimi není vždy zajištěn tak, jak by měl. S revolucí přišla Evropská unie, která vydává obecné nařízení o ochraně osobních dat, které platí plošně pro všechny členské státy. Tato převratná novinka však ovlivní nejen nadnárodní korporace a online služby, ale i drobné podnikatele a jednotlivce, pro které může být zavedení nových postupů i likvidační.
Evropská legislativa se rozhodla řešit problém nedostatečné ochrany osobních údajů a v dubnu 2016 schválila obecné nařízení o jejich ochraně. GDPR (General Data Protection Regulation) má za cíl hájit co nejvíce práva občanů, zamezit neoprávněnému zacházení s jejich daty, ale i poskytnout jim přehled a kontrolu nad tím, co se s jejich daty děje. Každá jednotka, která shromažďuje osobní údaje, ať už o zaměstnancích, klientech či dodavatelích, bude muset od 25. května 2018 razantně změnit přístup ke zpracovávání osobních údajů, jinak jim hrozí přímo astronomické pokuty až do výše 20 mil. EUR nebo 4 % celosvětového ročního obratu (dle toho co je vyšší). V České republice byla tato problematika řešena naposledy roku 1995 směrnicí 95/46/ES a zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon umožňuje uložit pokutu ve výši až 10 mil. Kč, ovšem v praxi byly tyto sumy výrazně nižší. Obecné nařízení EU však tento zastaralý zákon převyšuje a bude tím zrušen.
Účel a způsob zpracování dat
Data bude podle GDPR možno uchovávat až po svobodném, výslovném a jednoznačném projevu vůle, vyjádřeného pomocí prohlášení, nebo jasnou souhlasnou akcí (affirmative action).
Při zpracování dat se bude třeba řídit jasně danými principy. Jde například o zákonnost, korektnost, transparentnost a minimalizaci údajů (kdy bude nutné zachovat pouze jejich nezbytný a relevantní rozsah). Shromažďovaná data musí mít jasně vymezený účel a nesmí být využita pro účel jiný (leda že by byl nový účel slučitelný se starým). Po dosažení daného účelu by měla být smazána. Důraz bude kladen i na integritu a důvěrnost, tedy na zajištění bezpečnosti dat a ochranu před neoprávněným a nezákonným zpracováním.
GDPR dále rozšiřuje práva subjektů, jejichž data jsou zpracovávána, o právo na přístup k osobním údajům, nebo na opravu, vznesení námitky, omezení zpracování či i výmaz jejich osobních údajů.
Toto nařízení také ukládá větším zpracovatelům dat povinnost zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tedy pověřence pro ochranu osobních údajů, který bude dohlížet na řádné zacházení s osobními údaji a veškeré porušení zákona či únik dat hlásit dozorovému úřadu do 72h.
Výjimky z působnosti
I když GDPR bude platit plošně a zasáhne třeba i veřejný sektor, pojišťovny, nemocnice aj., pár pochopitelných výjimek se najde. Jedná se například o orgány řešící prevenci, vyšetřování, odhalování a stíhání trestné činnosti vč. ochrany před hrozbami pro veřejnou bezpečnost a o zpracování při činnostech, které nespadají do působnosti práva EU, fyzickou osobu pro osobní a domácí potřebu či činnosti související s politikou kontrol na hranicích, azylu a přistěhovalectví.
Pokud si v oblasti GDPR nejste jistí, podívejte se na nabídku kurzů a školení s tématem GDPR.
Informace najdete i v dalších článcích na blogu SOVA NET:
