Obecné nařízení o ochraně osobních údajů

Obecné nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – „GDPR“; v češtině zde) vstoupilo v platnost dne 24. května 2016 a ve všech členských státech EU se přímo aplikuje od 25. května 2018. GDPR v celé EU nahradí dosavadní vnitrostátní předpisy implementující dnes již více než dvacet let starou směrnici o ochraně osobních údajů (95/46/ES).

DESATERO největších změn podle GDPR

Všechny obchodní společnosti i veřejné instituce by si měly osvojit pravidla GDPR, nastavit interní procesy a vytvořit adekvátní dokumentaci, chtějí-li se vyhnout reputačnímu riziku a mnohonásobně vyšším sankcím, než jaké bylo možné uložit podle předchozí právní úpravy. Zde je desatero největších změn pode GDPR:

1. Nové a širší pojmy

  • rozšíření: osobní údaj, zvláštní kategorie osobních údajů („citlivé údaje“)
  • nové pojmy: záměrná a standardní ochrana osobních údajů, pseudonymizace, profilování, hlavní provozovna, zástupce, podnik, závazná podniková pravidla

2. Univerzální územní působnost

  • redefinice aplikovatelnosti nařízení s cílem postihnout efektivně i ty správce, kteří nemají sídlo v EU

3. Souhlas se zpracováním osobních údajů

  • GDPR detailně upravuje definici souhlasu se zpracováním osobních údajů
  • zpřísnění podmínek pro získání souhlasu
  • pravidla týkající se nezletilých osob

4. Rozšíření práv subjektů údajů

  • více detailních práv pro jednotlivce: přenositelnost osobních údajů, právo být zapomenut, právo na první bezplatnou kopii osobních údajů, právo na omezení zpracování osobních údajů

5. Detailnější důraz na zajištění bezpečnosti

  • posun odpovědnosti za prokazování dodržení GDPR na správce a zpracovatele
  • zavedení vhodných technických a organizačních opatření: pseudonymizace a šifrování osobních údajů
  • schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
  • schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických a technických incidentů
  • proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování
  • odpovědnost za volbu vhodného dodavatele (zpracovatele osobních údajů)

6. Ohlašování incidentů

  • povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm správce dozvěděl
  • až na výjimky nutno oznámit i subjektům údajů

7. Záznamy o činnostech zpracování

  • formální oznámení o zpracování osobních údajů Úřadu pro ochranu osobních údajů nahrazeno detailnější povinností vést interní záznamy o zpracování osobních údajů
  • menší podniky pro méně riziková zpracování mohou využít výjimku

8. Posouzení vlivu na ochranu osobních údajů a předchozí konzultace

  • povinnost vypracovat analýzu dopadů na ochranu osobních údajů, pokud existují zvýšená rizika pro práva subjektů údajů, a ve složitějších případech je konzultovat s Úřadem pro ochranu osobních údajů

9. Pověřenec pro ochranu osobních údajů

  • povinnost správce nebo zpracovatele v některých případech (rizikových z pohledu množství nebo charakteru osobních údajů či použitých technologiích) jmenovat uvnitř organizace „pověřence pro ochranu osobních údajů“, nebo takovou osobu zajistit externě

10. Obrovské pokuty připomínající sankce na úseku hospodářské soutěže

  • porušení pravidel ochrany osobních údajů může být pokutováno částkou až 20.000.000 €, anebo do výše 4 % celosvětového obratu, podle toho, co je vyšší

Jak Vám můžeme pomoci?

 

Efektivně zajistit soulad s tak komplexním předpisem, jako je GDPR, je nepochybně velkou výzvou. Pro naši advokátní kancelář to však není první výzva obdobného typu a s naší mnohaletou zkušeností nejen z odborného, ale i metodického hlediska Vám budeme plně k dispozici. Naši přední odborníci jsou připraveni Vás v nelehkém úkolu maximálně podpořit.

V souvislosti s GDPR jsme připraveni:

  • Zajistit audit zpracování osobních údajů ve Vaší společnosti (provést gap analýzu) a sestavit seznam doporučení k realizaci dalších kroků

  • Pomoci Vám s nastavením vnitřních procesů pro zpracování osobních údajů

  • Pomoci Vám zajistit odpovídající dokumentaci, ať už interní, nebo smluvní, tj. revidovat nebo vytvořit:

                                – směrnice a zásady ochrany osobních údajů

                                – veškerou dokumentaci vztahující se k subjektu osobních údajů

                                – smlouvy o zpracování osobních údajů

  • Poradit Vám se zajištěním odpovídajícího zabezpečení ochrany osobních údajů

  • Pomoci Vám při předávání osobních údajů do zahraničí

  • Spolupracovat s Vámi při nastavení mechanismů pro reakci na případné případy porušení ochrany osobních údajů, být součástí Vašeho týmu rychlé reakce

  • Provést vyškolení zaměstnanců, kteří přicházejí do styku s osobními údaji

Zajištění dosažení souladu s GDPR je však jen prvním krokem – neméně důležité je i tento soulad udržovat při rozumné míře vynaloženého úsilí a investic. Naši odborníci jsou připraveni Vám poskytnout plnou podporu v dodržování pravidel GDPR a souvisejících oblastech:

  • Sledování vývoje legislativy, judikatury a výkladové praxe a doporučování změn
  • Zajištění školení a e-learning
  • Podpora při plnění jednotlivých povinností (např. vypracování DPIA, uplatňování práv subjektů údajů, úpravy postupů a dokumentace při změnách ve zpracovávání)
  • Data breach – porušení zabezpečení osobních údajů
  • Podpora při kontrolní činnosti vykonávané Úřadem pro ochranu osobních údajů
  • Zastupování v řízeních před Úřadem pro ochranu osobních údajů, případně před soudy

Outsourcing výkonu činnosti POVĚŘENCE (DPO)

Připravili jsme pro Vás komplexní poradenskou službu zajišťující outsourcing výkonu činnosti pověřence pro ochranu osobních údajů (DPO). Máme dlouholeté zkušenosti s poradenstvím v oblastech ochrany osobních údajů i informačních technologií, a proto jsme se rozhodli nabídnout službu výkonu činnosti DPO a další dlouhodobé podpory v oblasti GDPR compliance ve spolupráci s nově založenou společností FairData Professionals a. s., která má plný přístup k know-how a zkušenostem naší advokátní kanceláře, přičemž své služby poskytuje nezávisle.

Prostřednictvím FairData Professionals a.s. Vám nabízíme zejména:

  • outsourcing výkonu činnosti pověřence pro ochranu osobních údajů (DPO) správcům i zpracovatelům osobních údajů, kterým jmenování DPO ukládá zákon nebo se sami dobrovolně rozhodnou DPO jmenovat
  • odbornou podporu pro DPO jmenovaného z řad zaměstnanců klienta
  • lokální podporu zahraničního DPO (jmenovaného např. na úrovni skupiny)
  • výkon činnosti quasi-DPO, neoficiálního „pověřence“, který organizaci průběžně podporuje a monitoruje soulad zpracovávání s GDPR
  • výkon činnosti zástupce v EU dle článku 27 GDPR, pro správce nebo zpracovatele, kteří nejsou v EU usazeni, ale vykonávají zde příslušnou činnost
Další informace jsou k dispozici na www.fairdata.cz.
 
Klíčové kontakty
Aktuální informace
více ...
Copyright © 2011 - 2018 HAVEL & PARTNERS s.r.o. | website by Red Knight s.r.o.
popup