Co GDPR přináší?
GDPR navazuje na již dnes používanou terminologii a zásady pro zpracování osobních údajů. Nejedná se tedy rozhodně o žádnou revoluci v této oblasti. To bylo ostatně i mnohokrát zdůrazňováno na proběhlé konferenci ISSS – Internet ve státní správě a samosprávě, kde zaznělo i varování před poradenskými firmami, které někdy klienty ohledně GDPR nedůvodně vystraší a následně si nechají zaplatit za návrh nadbytečných (a někdy nekvalitních) opatření.
I nadále bude ochrana osobních údajů koncipována z pohledu rizik, tedy zabezpečení osobních údajů z hlediska možného ohrožení práv fyzických osob v kontextu povahy, rozsahu a účelu zpracování těchto údajů. Vždy by však měla existovat určitá přiměřenost přijatých opatření vůči rizikům.
Oproti současné právní úpravě klade GDPR, vzhledem k velkému rozvoji informačních technologií v posledních letech, větší důraz na technické prostředky zabezpečení osobních údajů (pseudonymizace, šifrování, testování…). GDPR rovněž podrobněji a přesněji upravuje pravidla pro správce a zpracovatele osobních údajů, kterým přináší i několik nových povinností, např. ohlašování porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů nebo v případě některých správců povinnost jmenovat pověřence pro ochranu osobních údajů.
Na co je třeba se zaměřit?
Při zpracování osobních údajů je nutné vycházet hlavně ze zásad uvedených v čl. 5 GDPR:
Zákonnost
Zákonnost zpracování osobních údajů je uvedena v čl. 6 GDPR. Pro dražebníky připadají v úvahu zejména situace, kdy zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo kdy zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů. V těchto situacích (a dalších uvedených v čl. 6) tedy není potřeba vyžadovat žádný souhlas se zpracováním osobních údajů, zpracování je zákonné. Jestliže by zpracování osobních údajů bylo nad jejich rámec, je třeba subjekt údajů požádat o souhlas se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů.
Korektnost a transparentnost
Pro zpracování osobních údajů je potřeba mít právní důvod a vůči subjektu údajů postupovat transparentně a korektně.
Omezení účelu
Pro zpracování osobních údajů musí existovat konkrétní legitimní účel, nemohou být zpracovávány nad jeho rámec.
Minimalizace údajů
Množství a podoba osobních údajů musejí být přiměřené vzhledem k účelu jejich zpracování.
Přesnost
Osobní údaje musejí být přesné.
Omezení uložení
Osobní údaje musejí být uloženy jen po dobu nezbytnou vzhledem k účelu jejich zpracování.
Integrita a důvěrnost
Osobní údaje musejí být organizačně a technicky zabezpečeny.
Novou povinnosti pro správce osobních údajů je podle čl. 30 GDPR vyhotovování obecných záznamů o činnostech, které se s osobními údaji provádějí. Tato povinnost nahrazuje dosavadní oznamovací povinnost k ÚOOÚ, která byla GDPR zrušena. Povinnost vést záznamy o činnostech zpracování se podle čl. 30 odst. 5 GDPR netýká podniků nebo organizací zaměstnávajících méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10.
Osobní údaje je nutné zabezpečit, avšak nemusí jít o žádná náročná opatření. Budeme-li parafrázovat slova eurokomisařky Věry Jourové na konferenci ISSS, v obecné rovině postačí bezpečný server a uzamykatelná skříň na šanony.
GDPR v čl. 33 nově zavádí ohlašovací povinnost při porušení zabezpečení osobních údajů. Správce ohlásí ÚOOÚ porušení zabezpečení bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o porušení zabezpečení dozvěděl. Tuto povinnost nemá, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
Závěrem doporučujeme vypracovat si interní analýzu nakládání s osobními údaji, v níž bude vyhodnoceno, co z výše uvedených bodů je již dodržováno, jaké osobní údaje jsou zpracovávány, zda již nepominul důvod pro uchovávání některých osobních údajů apod.
Kde najít informace?
Evropská komise
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_cs
Úřad pro ochranu osobních údajů
https://www.uoou.cz/gdpr-obecne-narizeni/ds-3938/p1=3938
Ministerstvo vnitra
http://www.mvcr.cz/gdpr/
Ministerstvo průmyslu a obchodu
https://www.mpo.cz/cz/podnikani/ochrana-osobnich-udaju-gdpr/gdpr-dokumenty/default.htm
Hospodářská komora České republiky
https://www.komora.cz/prirucka-k-gdpr/