Obecné nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – „GDPR“; v češtině zde) vstoupilo v platnost dne 24. května 2016 a ve všech členských státech EU se přímo aplikuje od 25. května 2018. GDPR v celé EU nahradí dosavadní vnitrostátní předpisy implementující dnes již více než dvacet let starou směrnici o ochraně osobních údajů (95/46/ES).
DESATERO největších změn podle GDPR
Všechny obchodní společnosti i veřejné instituce by si měly osvojit pravidla GDPR, nastavit interní procesy a vytvořit adekvátní dokumentaci, chtějí-li se vyhnout riziku reputačnímu riziku a mnohonásobně vyšším sankcím, než jaké bylo možné uložit podle předchozí právní úpravy. Zde je desatero největších změn pode GDPR:
1. Nové a širší pojmy
-
rozšíření: osobní údaj, zvláštní kategorie osobních údajů („citlivé údaje“)
-
nové pojmy: záměrná a standardní ochrana osobních údajů, pseudonymizace, profilování, hlavní provozovna, zástupce, podnik, závazná podniková pravidla
2. Univerzální územní působnost
-
redefinice aplikovatelnosti nařízení s cílem postihnout efektivně i ty správce, kteří nemají sídlo v EU
3. Souhlas se zpracováním osobních údajů
-
GDPR detailně upravuje definici souhlasu se zpracováním osobních údajů
-
zpřísnění podmínek pro získání souhlasu
-
pravidla týkající se nezletilých osob
4. Rozšíření práv subjektů údajů
-
více detailních práv pro jednotlivce: přenositelnost osobních údajů, právo být zapomenut, právo na první bezplatnou kopii osobních údajů, právo na omezení zpracování osobních údajů
5. Detailnější důraz na zajištění bezpečnosti
-
posun odpovědnost za prokazování dodržení GDPR na správce a zpracovatele
-
zavedení vhodných technických a organizačních opatření: pseudonymizace a šifrování osobních údajů
-
schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování
-
schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických a technických incidentů
-
proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování
-
odpovědnost za volbu vhodného dodavatele (zpracovatele osobních údajů)
6. Ohlašování incidentů
-
povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm správce dozvěděl
-
až na výjimky nutno oznámit i subjektům údajů
7. Záznamy o činnostech zpracování
-
formální oznámení o zpracování osobních údajů Úřadu pro ochranu osobních údajů bude nahrazeno detailnější povinností vést interní záznamy o zpracování osobních údajů
-
menší podniky pro méně riziková zpracování mohou využít výjimku
8. Posouzení vlivu na ochranu osobních údajů a předchozí konzultace
9. Pověřenec pro ochranu osobních údajů
10. Obrovské pokuty připomínající sankce na úseku hospodářské soutěže
-
porušení pravidel ochrany osobních údajů může být pokutováno částkou až 20.000.000 €, anebo do výše 4 % celosvětového obratu, podle toho, co je vyšší
Jak Vám můžeme pomoci?
Efektivně zajistit soulad s tak komplexním předpisem, jako je GDPR, je nepochybně velkou výzvou. Pro naši advokátní kancelář to však není první výzva obdobného typu a s naší mnohaletou zkušeností nejen z odborného, ale i metodického hlediska Vám budeme plně k dispozici. Naši přední odborníci jsou připraveni Vás v nelehkém úkolu maximálně podpořit.
V souvislosti s GDPR jsme připraveni:
-
Zajistit audit zpracování osobních údajů ve Vaší společnosti (provést gap analýzu) a sestavit seznam doporučení k realizaci dalších kroků
-
Pomoci Vám s nastavením vnitřních procesů pro zpracování osobních údajů
-
Pomoci Vám zajistit odpovídající dokumentaci, ať už interní, nebo smluvní, tj. revidovat nebo vytvořit:
– směrnice a zásady ochrany osobních údajů
– veškerou dokumentaci vztahující se k subjektu osobních údajů
– smlouvy o zpracování osobních údajů
-
Poradit Vám se zajištěním odpovídajícího zabezpečení ochrany osobních údajů
-
Pomoci Vám při předávání osobních údajů do zahraničí
-
Spolupracovat s Vámi při nastavení mechanismů pro reakci na případné případy porušení ochrany osobních údajů, být součástí Vašeho týmu rychlé reakce
-
Provést vyškolení zaměstnanců, kteří přicházejí do styku s osobními údaji
Zajištění dosažení souladu s GDPR je však jen prvním krokem – neméně důležité je i tento soulad udržovat při rozumné míře vynaloženého úsilí a investic. Naši odborníci jsou připraveni Vám poskytnout plnou podporu v dodržování pravidel GDPR a souvisejících oblastech:
-
Sledování vývoje legislativy, judikatury a výkladové praxe a doporučování změn
-
Zajištění školení a e-learning
-
Podpora při plnění jednotlivých povinností (např. vypracování DPIA, uplatňování práv subjektů údajů, úpravy postupů a dokumentace při změnách ve zpracovávání)
-
Data breach – narušení bezpečnosti osobních údajů
-
Podpora při kontrolní činnosti vykonávané Úřadem pro ochranu osobních údajů
-
Zastupování v řízeních před Úřadem pro ochranu osobních údajů, případně před soudy
Outsourcing výkonu činnosti POVĚŘENCE (DPO)
Připravili jsme pro Vás komplexní poradenskou službu, díky níž můžete téměř veškeré povinnosti související s novým institutem pověřence pro ochranu osobních údajů (DPO) outsourcovat na nás. Máme dlouholeté zkušenosti s poradenstvím v oblastech ochrany osobních údajů i informačních technologií, a proto jsme se rozhodli nabídnout službu výkonu činnosti DPO a další dlouhodobé podpory v oblasti GDPR compliance ve spolupráci s nově založenou společností FairData Professionals a. s., která má plný přístup ke kapacitám, know-how a zkušenostem advokátní kanceláře.
Prostřednictvím FairData Professionals a.s. Vám nabízíme:
-
outsourcing výkonu činnosti pověřence pro ochranu osobních údajů (DPO) správcům i zpracovatelům osobních údajů, kterým jmenování DPO ukládá zákon nebo se sami dobrovolně rozhodnou DPO jmenovat
-
odbornou podporu pro DPO jmenovaného z řad zaměstnanců či lokální podporu zahraničního DPO (jmenovaného např. na úrovni skupiny)
-
výkon činnosti quasi-DPO, neoficiálního „pověřence“, který bude organizaci průběžně podporovat a monitorovat soulad zpracovávání s GDPR
|