Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) nebo General Data Protection Regulation (GDPR) Miroslav Kvapil, BDO Advisory s.r.o.
Dosavadní právní úprava ochrany osobních údajů v Evropské unii je v současnosti nakládání s osobními údaji upraveno směrnicí 95/46/ES a každý členský stát EU má svoji národní právní úpravu, která směrnici implementuje v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů Povaha nové právní úpravy (1/2) Cíle nové právní úpravy deklarovaným cílem Obecného nařízení o ochraně osobních údajů (dále také „GDPR“) je posílit právo fyzických osob na ochranu údajů a zároveň usnadnit volný pohyb osobních údajů v rámci jednotného digitálního trhu EU nařízení také reaguje na požadavky judikatury a její závěry zapracovává přímo do svého textu
Povaha nové právní úpravy (2/2) Změny a kontinuita s dosavadní právní úpravou GDPR přináší zásadní změny, na které budou muset dotčené subjekty reagovat změna druhu právního předpisu - nařízení je nyní přímo účinné a předpokládá se důslednější sjednocení úpravy ochrany osobních informací v členských státech, v ČR lze předpokládat zrušení stávajícího zákona o ochraně osobních údajů a vydání nového zákona správci a zpracovatelé se budou moci rozhodnout dodržovat schválené kodexy chování nebo získat osvědčení, aby doložili plnění svých povinností
Působnost nařízení (1/2) Věcná působnost nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny nařízení se nevztahuje např. na zpracování osobních údajů prováděných fyzickou osobou v průběhu výlučně osobních či domácích činností Místní působnost nařízení dopadne na každého správce nebo zpracovatele osobních údajů s provozovnou v EU úprava platí i pro správce a zpracovatele, kteří nabízejí zboží nebo služby subjektům údajů v EU nebo monitorují jejich chování Časová působnost nařízení nabude účinnosti 25. května 2018
Působnost nařízení (2/2) Osobní působnost nařízení upravuje práva některých subjektů, zejm. subjektu údajů, správců a zpracovatelů osobních údajů správce - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
Nové povinnosti správců a zpracovatelů (1/3) Souhlas ke zpracování osobních údajů nebude možné sdělit souhlas se zpracováním osobních údajů mlčky, tj. například konkludentním jednáním souhlas bude muset být prezentován samostatně od ostatních podmínek předkládaných danému subjektu ke schválení souhlas nebude moci být podmínkou poskytování služby, pokud pro její poskytování nebude zpracování daných údajů nezbytné správce osobních údajů – povinen dotčené fyzické osoby informovat o zpracování tak, aby jim byly veškeré informace dostupné a srozumitelné nově možnost odvolat udělený souhlas se zpracováním osobních údajů
Nové povinnosti správců a zpracovatelů (2/3) Právo být zapomenut jednotlivci mohou podat žádost správcům a zpracovatelům osobních údajů k odstranění osobních údajů Právo na portabilitu subjekty mohou požadovat vydání zpracovávaných údajů ve strukturovaném, běžně používaném a strojově čitelném formátu, za účelem přechodu k jinému poskytovateli Pověřenec pro ochranu osobních údajů pokud je správce orgánem veřejné moci, jeho hlavní aktivity zahrnují rozsáhlé pravidelné a systematické monitorování subjektů osobních údajů ve velkém měřítku, anebo pokud jeho hlavní činnosti spočívají ve zpracovávání citlivých údajů – povinnost zřídit pověřenec musí být informován o všech aktivitách správce spojených se zpracováváním osobních údajů, musí být nezávislý, odpovídat přímo členům vrcholového vedení
Nové povinnosti správců a zpracovatelů (3/3) Vedení záznamů o všech činnostech zpracování údajů správci již nebudou muset splnit tzv. oznamovací povinnost u příslušného orgánu dozoru před zahájením zpracování osobních údajů nahrazeno povinností správce vést záznamy o všech činnostech zpracování údajů, za něž odpovídají Povinnost vypracovat posouzení vlivu na ochranu osobních údajů u zpracování, které na základě své povahy, rozsahu a účelu mohou představovat vysoké riziko z hlediska práv a svobod subjektů údajů, je správce povinen ještě před zahájením samotného zpracování provést posouzení dopadu na ochranu osobních údajů Povinnost předchozí konzultace s orgánem dozoru správce má povinnost zpracování posouzení vlivu na ochranu osobních údajů konzultovat s orgánem dozoru v případě, pokud by z posouzení dopadu vyplynulo, že zpracování je vysoce rizikové a zároveň platí, že správce je toho názoru, že riziko nelze zmírnit přiměřenými prostředky, pokud jde o dostupnost technologií a nákladů na jejich zavedení
Sankce příslušný dozorový orgán může uložit peněžitou pokutu v případě méně závažného porušení až do výše 10 mil. EUR nebo u podniku až 2 % celkového ročního světového obratu a v případě závažnějšího porušení až do 20 mil. EUR nebo u podniku až 4 % celkového ročního světového obratu sankcím lze předejít aktualizací stávající dokumentace týkající se osobních údajů, vedením řádné evidence o zpracovávaných údajích současně organizace musí zavést další vhodná technická a organizační opatření, která zajistí bezpečnost zpracovávaných údajů a soulad zpracování s nařízením splnění požadovaného standardu ochrany osobních údajů lze prokázat například přihlášením se k dodržování kodexů chování nebo osvědčením schváleným příslušným dozorovým orgánem, anebo vytvořím funkce pověřence pro ochranu osobních údajů
Doporučovaný postup Krok 4 Krok 2 Krok 3 Krok 1 Vytvořte si efektivní obranný mechanismus GDPR, vyhnete se případným komplikacím a sankcím. Krok 1 Audit GDPR Krok 2 Implementace opatření Krok 3 Vzdělávání zaměstnanců Krok 4 Zajištění Pověřence pro ochranu osobních údajů
Děkuji za pozornost MIROSLAV KVAPIL Senior Manager Tel: +420 734 647 700 miroslav.kvapil@bdo.cz