Problematice GDPR jsme se věnovali již v článku Téma roku 2018? GDPR, kde názvem článku předvídáme GDPR prvenství mezi tématy tohoto roku. V roce 2018 vám přejeme hodně štěstí na vaší cestě k dosažení souladu s GDPR. Zdá se vám tato cesta příliš složitá? Máte obavy, že se není čeho „chytit“? Věřte, že v tom nejste sami. 

Obecné nařízení o ochraně osobních údajů přináší kromě povinností i nástroje, s jejichž pomocí lze tyto povinnosti plnit. Řada z nich bude teprve vznikat, jedná se např. o kodexy chování, udělování osvědčení o souladu s GDPR, či závazná vnitropodniková pravidla. Již nyní se však lze „chytit“ pokynů a vodítek tzv. Pracovní skupiny WP29, které představují důležitý výkladový materiál Obecného nařízení a mnohdy stanovují i tzv. nejlepší doporučený postup. Tyto dokumenty jsou průběžně zveřejňovány na stránkách Úřadu pro ochranu osobních údajů, který v současné době plní a i nadále bude plnit roli dozorového úřadu. Najdete zde např. vodítka a pokyny k problematice pověřenců, práva na přenositelnost údajů, k ohlašování případů porušení, k souhlasu či uplatnění a stanovení správních pokut.

A na jaké požadavky bychom měli být při zpracování osobních údajů připraveni, chceme-li být v souladu s Obecným nařízením? 

Hlavním adresátem povinností stanovených v Obecném nařízení je správce, tedy ten, který určuje účel a prostředky zpracování osobních údajů. Správce může zpracováním osobních údajů pověřit jiný subjekt, tzv. zpracovatele. I v takovém případě však platí, že tím, kdo odpovídá za zpracování, je správce. Zároveň je odpovědný i za výběr vhodného zpracovatele. Proto je důležité, aby využíval pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných opatření pro splnění požadavků Obecného nařízení. Vzájemné vztahy správce a zpracovatele se budou řídit písemnou smlouvou zavazující zpracovatele vůči správci. Ta by měla stanovit především předmět a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů, kategorii subjektů údajů, práva a povinnosti každé strany. Případné zapojení dalšího zpracovatele bude možné pouze po předchozím schválení správcem a za stejných podmínek, které jsou smluveny mezi správcem a zpracovatelem.

Hlavními nositeli práv stanovených v Obecném nařízení jsou subjekty údajů, tedy fyzické osoby, jejichž údaje jsou zpracovávány. V okamžiku získání jejich osobních údajů s nimi v roli správce komunikujte jednoduchou formou. Sdělte jim, kdo jste, jaké údaje se chystáte zpracovávat, pro jaké účely a na základě jakého právního důvodu, jak dlouho je budete uchovávat, kdo je získá. Informujte je o jejich právech (právu přístupu k osobním údajům, jejich opravy nebo výmazu, právu na přenositelnost, právu podat stížnost u dozorového úřadu,…) a buďte připraveni na výkon těchto práv. V případě existence vážného rizika v souvislosti s narušením zabezpečení údajů informujte ty, jejichž údajů se to týká. Potřebujete-li ke zpracování osobních údajů souhlas subjektu údajů, tento souhlas by měl být dobrovolný, doložitelný, s jasně stanoveným účelem zpracování a měl by být definován jako samostatný text. Pokud souhlasy získané v minulosti tyto vlastnosti nemají, je nutné požádat o nové a to nejlépe před účinností Obecného nařízení.

Kromě výše uvedeného zavádí Obecné nařízení některé nové povinnosti, které jsou aplikovány na základě přístupu založeném na riziku. V roli správce i zpracovatele
musíte být schopni doložit, že jste s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k možným rizikům zavedli vhodná technická a organizační opatření k zajištění souladu s požadavky Obecného nařízení. Musíte vést záznamy o činnostech zpracování, výjimkou jsou organizace s méně než 250 zaměstnanci, pokud jimi prováděné zpracování nepředstavuje riziko pro práva a svobody subjektů údajů a nezpracovávají zvláštní kategorie osobních údajů. Pokud patříte mezi ty, jimž tuto povinnost stanoví Obecné nařízení, musíte jmenovat pověřence pro ochranu osobních údajů a zveřejnit jeho kontaktní údaje. V případě pravděpodobnosti vzniku vysokého rizika pro práva a svobody osob v souvislosti se zpracováním jejich osobních údajů musíte jako správce před jeho zahájením provést posouzení vlivu na ochranu osobních údajů, vč. případné konzultace s dozorovým úřadem. Jakmile zjistíte porušení zabezpečení osobních údajů, které je rizikové, musíte tuto skutečnost bez zbytečného odkladu (pokud možno do 72 hodin) ohlásit v roli správce dozorovému úřadu, v roli zpracovatele správci.

V procesu implementace je nutné si uvědomit, že podmínky pro zpracování osobních údajů nemusí být stanoveny pouze Obecným nařízením, ale i jinými zákony či zvláštními právními předpisy, které mohou stanovit další podmínky pro zákonný způsob zpracování osobních údajů. Jedná se např. o občanský zákoník, zákon o evidenci obyvatel a rodných čísel, zákon o archivnictví a spisové službě, ve mzdové oblasti je to např. zákoník práce, zákon o zaměstnanosti, zákony upravující komunikaci v oblasti sociálního a zdravotního zabezpečení a daní. Tyto zákony se v kontextu se zavedením Obecného nařízení nezmění. V oblasti elektronických komunikací jde např. o zákon o elektronických komunikacích a zákon o některých službách informační společnosti, které budou v budoucnu nahrazeny
tzv. ePrivacy nařízením.

Obecné nařízení však není pouze o povinnostech. Pozitivním přínosem Obecného nařízení bude zjednodušení právního prostředí, pravidla v oblasti ochrany osobních údajů budou ve všech státech EU stejná. Vznikne jednotné kontaktní místo, společnosti tedy budou jednat pouze s jedním orgánem, což jim zaručí větší právní jistotu. Nadnárodní podniky budou mít k dispozici jasná a jednoznačná pravidla. Právo na přenositelnost údajů usnadní potenciálním zákazníkům přenášení jejich osobních údajů mezi poskytovateli služeb, což podpoří konkurenceschopnost. Obecné nařízení tak může být i příležitostí.