Obecné nařízení o ochraně osobních údajů (GDPR) je účinné již téměř rok a pro správce a zpracovatele osobních údajů zavedlo řadu nových povinností. Hlavní povinností správců je zavést vhodná opatření, jimiž zajistí zpracování osobních údajů v souladu s Nařízením. Tento soulad být musí být správce dle čl. 24 GDPR schopen prokázat. K tomu nařízení obsahuje několik nástrojů.
Jde o základní institut pro většinu správců a zpracovatelů, přičemž tyto záznamy obsahují obecné informace o prováděném zpracování osobních údajů. Správci a zpracovatelé tak nejsou povinni do záznamů uvádět konkrétní osobní údaje (jako je např. „Jan Novák“), ale pouze informaci o zpracování (tj. „jméno“). Úřad na ochranu osobních údajů (ÚOOÚ) je oprávněn si tyto záznamy vyžádat a správce, zpracovatel nebo jejich zástupce má povinnost mu je poskytnout.
Záznamy, které správce pořizuje, musejí obsahovat jeho kontaktní údaje, účel zpracování osobních údajů, kategorii subjektu osobních údajů a kategorii osobních údajů, kategorii příjemců, informace o tom, zda dochází k předávání osobních údajů do zahraničí, a je-li to možné, i lhůtu pro výmaz osobních údajů a popis prostředků sloužících k zabezpečení zpracování.
Jmenování pověřence pro ochranu osobních údajů není povinné pro všechny správce a zpracovatele. V některých situacích, představujících vyšší riziko při zpracování osobních údajů, jako např. při systematickém monitorování subjektů údajů nebo při rozsáhlém zpracování osobních údajů, stanoví GDPR povinnost dohledu nad zpracováním nezávislou poradní osobou. To znamená povinnost pověřence jmenovat.
Pověřenec může být jmenován ze zaměstnanců, nebo jím může být externí osoba. Pověřenec monitoruje soulad zpracování osobních údajů s GDPR, poskytuje informace a poradenství zaměstnancům správců a zpracovatelů a spolupracuje s ÚOOÚ.
Správci a zpracovatelé mohou jmenovat pověřence i dobrovolně, aby je upozornil na případný nesoulad při zpracování osobních údajů a zároveň tím dávají veřejnosti jasný signál, že berou ochranu osobních údajů vážně.
Posouzení vlivu musí správce provést v případě, kdy určitý druh zpracování osobních údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií. Správci ale mohou posouzení vlivu zpracovat i pro jiné operace s podobným rizikem.
GDPR uvádí demonstrativní výčet operací, kdy je posouzení vlivu nutné. Patří mezi ně např. (i.) systematické a rozsáhlé vyhodnocování osobních údajů, které se týkají fyzických osob a které je založeno na automatizovaném zpracování včetně profilování, (ii.) rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; anebo (iii.) rozsáhlé systematické monitorování veřejně přístupných prostor.
Posouzení musí být vždy provedeno před zahájením zpracování osobních údajů a musí obsahovat alespoň (i.) popis zamýšlených operací zpracování údajů a účely zpracování, (ii.) posouzení nezbytnosti a přiměřenosti operací s údaji z hlediska účelů, (iii.) posouzení rizik pro práva a svobody subjektů údajů a (iv.) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k prokázání souladu s GDPR.
Kodex chování je dokument, který definuje základní zásady, postupy a požadavky zpracování osobních údajů v konkrétním odvětví průmyslu (např. bankovnictví, pojišťovnictví), přičemž kodex chování se má vypořádat jak se specifiky daného odvětví, tak s případnými nejasnostmi právní úpravy a přihlédnout k možným rizikům pro práva a svobody subjektů údajů.
Kodexy chování vytvářejí oborové asociace či sdružení správců osobních údajů formou konzultací s ÚOOÚ a jednotliví správci a zpracovatelé se k nim mohou následně po slnění podmínek přihlásit. Účast na kodexu chování je dobrovolná, jakmile však správce nebo zpracovatel ke kodexu chování přistoupí, je jím vázán a musí se podrobit monitorování jeho dodržování monitorujícím subjektem, který je akreditován ÚOOÚ.
Dalším způsobem, jak může správce nebo zpracovatel dobrovolně prokázat, že je v souladu s GDPR, je získání osvědčení. To bude prokazovat pomocí udělené pečeti nebo známky. Osvědčení bude dokládat jak dosaženou úroveň ochrany osobních údajů, tak splnění požadavků uvedených v jiných předpisech a technických normách. Tento soulad bude hodnocen nezávislým subjektem. na rozdíl od kodexů chování osvědčení nemíří na jednotlivá odvětví průmyslu, ale institut je zaměřen na konkrétní produkty (např. software a hardware) a služby.
Udělování osvědčení dosud nezačalo, ale podle návrhu nového zákona o zpracování osobních údajů V ČR má udělovat osvědčení Český institut pro akreditaci. Osvědčení budou udělována na dobu nejvýše tří let a bude možno ho obnovit za stejných podmínek, pokud správce nebo zpracovatel bude nadále splňovat příslušné požadavky.
Dokládání souladu zpracování nelze omezit pouze na výše uvedené instituty, jde o komplexní činnost. Soulad s GDPR vedle výše uvedených způsobů spočívá například i ve zveřejňování informací, které GDPR správcům a zpracovatelům nařizuje, vyhotovení vnitřních předpisů správců a zpracovatelů a v neposlední řadě řádnou součinností s ÚOOÚ.
Článek se zabývá povinnostmi příspěvkových organizací v oblasti whistleblowingu s ohledem na nedávno uplynuvší lhůtu k transpozici směrnice o ochraně oznamovatelů a metodiku o přímém účinku této směrnice vydanou Ministerstvem spravedlnosti ČR. Analyzujeme rovněž okruh adresátů povinností, jak jej navrhuje zatím nepřijatý návrh zákona o ochraně oznamovatelů, a v krátkosti také povinnosti ze zákona a směrnice vyplývající.
Zobrazit víceAčkoli elektronické dokumenty nejsou v podnikatelské praxi něčím novým, nadále se setkáváme s tím, že některé podnikatelské subjekty elektronické dokumenty neuznávají jako originály, a to zejména z důvodu, že k nim nemají důvěru anebo proto, že neví, jak si jejich platnost jednoduše ověřit. Cílem tohoto článku je proto informovat podnikatele o tom, jakou formu má mít elektronický dokument, aby mohl být uznán jako originál, jak si ověřit jeho platnost a zda je možné využívat elektronické dokumenty i v zahraničním obchodním styku.
Zobrazit víceOd 25.5.2018 je v České republice účinné nařízení EU o ochraně osobních údajů, tzv. GDPR. I když hlavní cíl tohoto nařízení je chránit osobní údaje občanů členských zemí EU před systematickým, automatizovaným a rozsáhlým sledováním, vztahuje se toto nařízení i na nepodnikatelské subjekty a mimo jiné i na společenství vlastníků jednotek (SVJ).
Zobrazit více