GDPR - miniseriál - díl 2. - V čem je to jiné?

V tuto dobu probíhá probíhá takzvané přechodné období určené pro implementaci nových evropských právních norem v oblasti ochrany osobních údajů - GDPR - General Data Protection Regulation. Přechodné období končí 25. května 2018. Je třeba si ale uvědomit, že to není lhůta pro národní novelizaci zákona 101/2000 Sb., ale lhůta, kdy se musí všechny povinné subjekty začít chovat v souladu s GDPR. Tedy nečeká se na nic, nařízení bude platné...

Dále je třeba pamatovat na to, že díky novele Zákona o trestní odpovědnosti právnických osob (cca 12/2016) je neoprávněné nakládání s osobními údaji trestný čin a je za něj možné stíhat právnickou osobu. Pak bude muset nastat dokazování ze strany právnické osoby, že nešlo o systémovou chybu, ale selhání jednotlivce.

V neposlední řadě přináší GDPR nové, docela drastické sankce. Jejich výše je stanovena do 20 mil. EUR a nebo 4 % z obratu. V případě nadnárodních korporací se počítá obrat nadnárodní..

Uveďme si aspoň ty nejvýznamnější rozdíly GDPR proti stávajícímu zákonu 101/2000 Sb.

• Hlášení bezpečnostních incidentů
• Nově musí postižená společnost nebo organizace informovat Úřad pro ochranu osobních údajů o narušení bezpečnosti nejpozději do 72 hodin po zjištění.
• Společnosti a organizace musí zajistit takové procesy a technologie, aby se jim podařilo narušení bezpečnosti odhalit, patříčně na to zareagovat a zajistit nápravu.
• Z toho vyplývá nutnost zajištění výchovy manažerů a  zaměstnanců, provedení změn v interních směrnicích o zabezpečení dat a jejich zavedení do praxe.
• Výsledkem by mělo být zjištění rychlého odhalení narušení bezpečnosti dat, rozpoznání příčin a následné nápravy.
• Jmenování pověřence pro ochranu osobních údajů – DPO
• Nově se definovaná povinnost pro větší firmy (zatím na 250 zaěstnanců - bude ještě dopřesněno Úřadem pro ochranu osobních údajů) zavést pozici pověřence pro ochranu osobních údajů - DPO (Data protection officer)
• Tato pozice bude moct být řešena personálním zajištěním uvnitř organizace nebo dodavatelsky.
• Změna dosahu
• Nařízení GDPR se dotkne všech, firem, státní správy a místní samosprávy. Záleží, jaká data zpracovávají.
• Nařízení nově zahrnuje jakákoliv data, která vedou k identifikování osobních dat jednotlivců.
• Změna části terminologie: (vysvětlíme si podrobněji v dalším dílu)
• osobní údaj - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
• zpracování osobních údajů - jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace.
• správce - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel, podmínky a prostředky zpracování osobních údajů; jsou-li účel, podmínky a prostředky zpracování určeny právem Unie či členského státu, je možné určit správce nebo zvláštní kritéria pro jeho jmenování na základě práva Unie nebo členského státu.
• zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce.
• Posouzení vlivu:
• Byla zrušena povinnost oznamování dozorovému úřadu, tedy Úřadu pro ochranu osobních údajů, ale ... - viz další odrážka...
• Místo toho musí společnost nebo organizace provést posouzení, zda způsob zpracování neohrožuje práva a svobody jednotlivce, a předchozí konzultaci s dozorovým úřadem.

Rozdílů je tedy dost a to jsme se ještě nedostali k operacím zpracování osobních údajů. Co to jsou osobní údaje, si řekneme v příštím díle, který se pokusím vydat už zítra dopoledne :)