"

GDPR – nová pravidla ochrany osobních údajů

06. 02. 2018 Sdílej na Internetový časopis pro podnikání a franchising

GDPR představuje jednotný právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů EU a reaguje na nové výzvy dané technologickým rozvojem a globalizací, kdy rozsah shromažďování a sdílení osobních údajů významně vzrostl. GDPR vstoupí v účinnost v celé EU ke dni 25. května 2018 a v podstatné části nahradí stávající zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“), který bude rovněž novelizován.

Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů při zachování volného pohybu osobních údajů. Toto nařízení se vztahuje automatizované a neautomatické zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Toto nařízení se vztahuje také na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU bez ohledu na to, zda zpracování probíhá v EU či mimo ni.

GDPR klade velký důraz na vymahatelnost práv fyzických osob a na povinností správců (zpracovatelů) odpovědných za zpracování dat. Obsahuje velmi podrobná pravidla pro různé kategorie údajů a způsoby jejich zpracování. Současně vyžaduje od správců a zpracovatelů výrazně aktivnější přístup, např. posoudit před zahájením nového zpracování vliv na ochranu osobních údajů a zvolit vhodné nástroje ochrany údajů. Za určitých podmínek se vyžaduje předběžná konzultace u dozorového úřadu.

Někteří správci a zpracovatelé jsou za určitých podmínek povinni také jmenovat pověřence pro ochranu osobních údajů. Podrobně jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.

GDPR se vyznačuje novými přístupy, na kterých je ochrana osobních údajů založena. Jedná se zejména o princip odpovědnosti správce a o přístup založený na riziku.

Princip odpovědnosti znamená odpovědnost franchisingového podniku, jako správce, za dodržení zásad zpracování osobních údajů podle GDPR, přičemž franchisingový podnik musí být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku znamená, že franchisingový podnik, jako správce, již od počátku musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.

Každý franchisingový podnik je proto povinen zabezpečit osobní údaje bez ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese.

Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování. Při posuzování úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům.

Každého franchisingového podniku se GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Tomu musí odpovídat i jeho přípravy na splnění povinností podle GDPR. Přístup založený na riziku váže některé povinnosti pouze na riziková či vysoce riziková zpracování, tudíž některé povinnosti mnoho správců nebude muset plnit, zatímco na jiné správce budou dopadat více méně všechny stanovené povinnosti.

Každý franchisingový podnik by si měl především udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké povinnosti se na něj vztahují. Součástí analýzy může být i vytipování slabých míst správce, např. v zabezpečení osobních údajů, úrovni jejich technického zpracování či může dojít k revizi právních důvodů zpracování osobních údajů a jejich uvedení do souladu s podmínkami GDPR (např. pokud franchisingový podnik aktuálně využívá souhlas se zpracováním osobních údajů, měl by provést zhodnocení, zdali udělené souhlasy budou použitelné i v době účinnosti GDPR).

Základní orientaci v GDPR a rozcestník pro další důležité informace najdete zde:

Ochrana údajů – lepší pravidla pro malé podniky, Evropská komise, 2017
http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_cs.htm

V dalších příspěvcích předložíme franchisingovým podnikům ucelený soubor informací k problematice GDPR, obsahující všechny důležité informace a návod, jak se na GDPR připravit, zejména jak provést analýzu stávající situace a jaká vhodná opatření přijmout k dosažení plné slučitelnosti se zásadami zpracování osobních údajů podle GDPR.

Autor: JUDr. David Karabec

Společnost JUDr. David KARABEC, s.r.o., IČO: 06078052,
se sídlem Na Spojce 610/6, 101 00 Praha 10,
zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 275705,
je specializovanou konzultační a poradenskou společností se zaměřením na ochranu autorských a průmyslových práv.
Společnost se zaměřuje i na školení, vzdělávací akce, překladatelskou a publikační činnost v oblasti ochrany duševního vlastnictví pro širokou veřejnost – www.karabec.cz/specializovana-konzultacni-spolecnost/.


Jinde na Internetový časopis pro podnikání a franchising


HLAVNÍ PARTNEŘI