Reforma v ochraně osobních dat se dotkne téměř každého.

29-11-16

Reforma v ochraně osobních dat se dotkne téměř každého.

14. dubna 2016 schválil Evropský parlament nové Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation – GDPR). GDPR se týká každého subjektu, který shromažďuje nebo zpracovává osobní údaje občanů EU, bez ohledu na jeho geografickou lokalitu.

Jednoduše řečeno: Nařízení se dotkne prakticky každého, ať už firmy nebo jednotlivce, kdo zpracovává osobní údaje svých zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit metodiku zpracovávání osobních údajů a to pod vysokými pokutami.

Co je GDPR a jak bude aplikováno v ČR

Obecné nařízení na ochranu osobních údajů začne v celé EU platit v květnu 2018, a v ČR tak nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES a vzhledem k jeho přímé aplikovatelnosti rovněž i zákon č. 101/2000 Sb.
 
Od dubna 2016 do května 2018 je jakýmsi přechodným obdobím, během něhož musí u všech, kterých se nařízení týká, dojít k zásadní revizi interních systémů a způsobu nakládání s osobními údaji.
 
Co se změní?
Nařízení GDPR přináší celou řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování.
 
Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

  • Zásadně se mění pojetí souhlasu ke zpracování osobních údajů.
  • Stejně jako dosud musí být souhlas svobodný, určitý, informovaný a jednoznačný.
  • Nově však bude muset být žádost o souhlas formulována tak, aby jí bylo jasně porozuměno.
  • Souhlas se zpracováním osobních údajů bude muset být v případě uzavírání smlouvy oddělen tak, aby bylo jasné, že není bezpodmínečně nutný k uzavření dané smlouvy.
  • S GDPR dochází také k rozšíření pojmu „osobní údaj“, kam spadají i „technické“ údaje typu e-mailová adresa, IP adresa, soubory cookie.
  • Nově je zavedena klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim.
  • Naprosto novým elementem je „právo být zapomenut“, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
  • Značná pozornost je také věnována právu na přenositelnost údajů.

Největším strašákem se pro mnohé stane oznamovací povinnost v případě porušení zabezpečení.
 
URS Czech má svého zástupce v pracovní skupině na úřadu vlády ČR, v které jsou zástupci různých oblastí průmyslu a služeb. Pracovní skupina se schází za účelem vyjasnění nového nařízen, diskutuje s ÚOOÚ (úřadem pro ochranu osobních údajů) a zástupců Ministerstva vnitra, aby byla lépe objasněn dopad GDPR nařízení do firem.

URS je u toho a připravuje pro své zákazníky kurzy na téma GDPR, které budeme přinášet od ledna 2017.

Kontakt...