GDPR a Smlouva o zpracování osobních údajů 22. - 23. 5. 2018, Říčany u Prahy JUDr. Tomáš Ščerba, Ph.D. – Advokát, Advokátní kancelář Pokorný, Wagner & partneři, s.r.o.

Obsah PREZENTACE GDPR Smlouva o zpracování osobních údajů Změna Podmínek zajištění služby distribuční soustavy

GDPR I. - General Data Protection Regulation Obecné nařízení o ochraně osobních údajů V celé EU nabývá účinnosti jednotně od 25. května 2018; Dotýká se každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu - míří na společnosti, instituce i jednotlivce, kteří zacházejí s osobními údaji (zaměstnanců, zákazníků, klientů či dodavatelů), a to napříč segmenty a odvětvími; V případě porušení pravidel vyplývajících z GDPR, nezavedení či nepřipravenosti opatření požadovaných GDPR hrozí povinným subjektům vysoké pokuty; Nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci tzv. DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů); Úřadu pro ochranu osobních údajů (ÚOOÚ) přibydou pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB);

GDPR II – vybrané podstatné změny Platnost a dodržování pravidel, jež přináší GDPR, bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování osobních údajů příslušných subjektů údajů; Subjekt osobních údajů by měl mít přístup k osobním údajům, které jsou o něm shromažďovány, a tento přístup by měl být přímý a pokud možno okamžitý; Rozšíření definice osobních údajů (nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele; nová je kategorie taktéž biometrických údajů); Oznamovací povinnost v případě narušení bezpečnosti, integrity osobních údajů;

GDPR III. – VYBRANÉ ZÁKLADNÍ POVINNOSTI REGULOVANÝCH SUBJEKTŮ Povinnost správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s požadavky GDPR; to se týká především následujících oblastí: Implementace technických a organizačních opatření nezbytných k ochraně bezpečnosti, důvěrnosti a integrity osobních údajů; vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA (Data Protection Impact Assessment); jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer); Minimalizace zpracovávání osobních údajů s ohledem na účel zpracování; vedení záznamů o činnostech zpracování, za které správci/zpracovatelé zodpovídají; Povinnost správců uzavřít smlouvu o zpracování osobních údajů se zpracovateli.

Smlouva o zpracování osobních údajů Vzhledem k tomu, že: Obchodníci s elektřinou mají se společností ČEZd uzavřenou Rámcovou smlouvu o zajištění služby distribuční soustavy (dále jen „RSD“); součástí RS jsou Podmínky zajištění služby distribuční soustavy, které dále specifikují jednotlivé obchodní procesy probíhající mezi Obchodníky s elektřinou a ČEZd (dále jen „Podmínky“); na základě RSD a Podmínek se uskutečňují právní jednání v digitální formě (elektronické podobě) prostřednictvím systémů ESB a DIP, v rámci nichž dochází ke zpracování osobních údajů na straně Obchodníků s elektřinou Obchodníci s elektřinou jsou dle GDPR vůči ČEZd v postavení Zpracovatele ve smyslu článku 4 odst. 8 GDPR; Dle článku 28 odst. 3 GDPR mají ČEZd jakožto Správce a Obchodník s elektřinou jakožto Zpracovatel povinnost uzavřít smlouvu o zpracování osobních údajů.

Smlouva o zpracování osobních údajů II. Ze strany ČEZd byl rozeslán návrh smlouvy o zpracování osobních údajů k rámcové smlouvě o zajištění služby distribuční soustavy (dále jen „Návrh smlouvy“); Návrh smlouvy je standardní, obsahově stručný a textově minimalistický, přičemž reflektuje pouze jednotlivá relevantní ustanovení GDPR; Návrh smlouvy neobsahuje žádná ustanovení nad rámec základních povinností, které dle ustanovení článku 28 odst. 3 GDPR musí být obsahem smlouvy mezi Správcem a Zpracovatelem; Obsahem Návrhu smlouvy tedy nejsou žádná nepředpokládatelná či nepřiměřená ustanovení, která by Zpracovatel osobních údajů nemohl v Návrhu smlouvy očekávat.

Změna podmínek zajištění služby distribuční soustavy I. Vzhledem k tomu, že: na základě RSD a Podmínek se uskutečňují právní jednání v digitální formě prostřednictvím systémů ESB a DIP, v rámci nichž dochází ke zpracování osobních údajů na straně Obchodníků s elektřinou; obchodníci s elektřinou jsou dle GDPR vůči ČEZd v postavení Zpracovatele ve smyslu článku 4 odst. 8 GDPR; dle článku 28 odst. 3 GDPR mají ČEZd jakožto Správce a Obchodník s elektřinou jakožto Zpracovatel povinnost uzavřít smlouvu o zpracování osobních údajů; při nedodržení povinností dle GDPR hrozí jak Správci, tak Zpracovateli pokuty až do výše 20 000 000 € nebo 4 % celkového celosvětového ročního obratu; společnost ČEZd s ohledem na povinnost předcházet škodám a péčí řádného hospodáře:

Změna podmínek zajištění služby distribuční soustavy II. … drobně upravila textaci Podmínek, kde je nově zakotveno ustanovení čl. III. C odst. 15, že bez řádně uzavřené smlouvy o zpracování osobních údajů nemůže Obchodník od 25. května 2018 s elektřinou kontrahovat s ČEZd prostřednictvím elektronických prostředků komunikace, tzn. ESB a DIP. Jestliže tedy Obchodník s elektřinou nebude mít s ČEZd řádně uzavřenu smlouvu o zpracování osobních údajů dle předloženého Návrhu smlouvy, vyhrazuje si ČEZd možnost znepřístupnit od 25. května 2018 kontraktaci s Obchodníky prostřednictvím tzv. „checkboxů“ a použitím scanů pro zasílání příloh pro uzavření eSoP.

DOTAZY Nyní je prostor pro Vaše dotazy.

Děkuji za pozornost