Menu

Jaké povinnosti ukládá GDPR institucím a firmám

Nyní platná směrnice 95/46/ES stanovila obecnou povinnost ohlašovat zpracování osobních údajů dozorovým úřadům.

Tato povinnost představuje zátěž pro firmy, avšak nepřispěla ke zlepšení ochrany osobních údajů. Proto bude tato obecná ohlašovací povinnost nařízením zrušena a nahrazena účinnějšími postupy a mechanismy, které se zaměří na postupy zpracování, jež mohou představovat vysoké riziko pro práva a svobody občanů.

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • zavedení tzv. pseudonymizace osobních údajů
  • vedení záznamů o činnostech zpracování
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

DPIA neboli posouzení vlivu na ochranu osobních údajů bude naprostou novinkou. Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem je činnost bank, pojišťoven, leasingových či jiných finančních institucí. Algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby.

Významnou skupinou firem, která bude muset čelit této administrativní povinnosti, jsou společnosti poskytující věrnostní programy, online nebo telekomunikační služby založené na lokalizačních datech nebo cílenou behaviorální reklamu.

Obdobnou povinnost pak budou mít všechny společnosti nebo instituce, které v rozsáhlém objemu zpracovávají citlivé osobní údaje anebo systematicky monitorují veřejně přístupné prostory. Příkladem této kategorie společností jsou bezpečnostní agentury, zdravotní pojišťovny nebo nemocnice.

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.

Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Tyto záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.


Hlavní partneři

GDPR vstoupí v platnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018