GDPR - strana 2

V minulém čísle jsme čtenáře informovali v obecné rovině o nové úpravě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. Dnes bychom chtěli čtenáře blíže informovat o některých povinnostech správců a zpracovatelů osobních údajů, které pokládáme za vhodné a který dotčeným subjektům dovolí promyslet, zda a v jakém rozsahu bude třeba zpracování jimi prováděné podrobit novým, resp. staro-novým pravidlům. Účelem tohoto příspěvku je, jinými slovy, napomoci při základní orientaci v nařízení.

Dne 25. května roku 2018 vstoupí v účinnost „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, v právních kruzích nazývané také jako „GDPR“ (dále v textu jen „nařízení“ či „GDPR“). GDPR nahradí dosud účinný zákon č. 101/2000 Sb. , o ochraně osobních údajů. Byť nařízení není v oblasti zpracování a ochrany osobních údajů revolučním nástrojem, jenž by si kladl za cíl radikálně změnit fungující principy a metody ochrany, nýbrž se jedná o úpravu do značné míry kontinuitní, obsahuje nařízení i mnohé novinky, resp. zakotvuje nová práva a nové povinnosti dotčených subjektů.

Cookies jsou předmětem dlouholetého sporu, jehož jádrem je otázka, zda jsou cookies osobním údajem, zda je jejich česká právní úprava kompatibilní s evropským právem, a jak tedy s těmito informacemi nakládat. Odpovědi na tyto otázky vám přináší následující příspěvek.

Čas neúprosně běží a již v řádu týdnů bude Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) účinné. Tato série článků se již od loňského roku zabývala praktickou stránkou přípravy na účinnost GDPR a nejdůležitějšími změnami, které GDPR přináší. Veřejným tajemstvím přitom je skutečnost, že velká většina povinností vyplývajících z GDPR vyplývala již ze zákona o ochraně osobních údajů (zákon č. 101/2000 Sb. ), v některých případech i v přísnější podobě. V předchozích článcích bylo pojednáváno o přípravě projektu zajištění souladu vašeho podnikání s touto novou právní úpravou, dále byla podrobněji rozpracována analytická část projektu a rovněž byly zmíněny specifické instituty, které musí být při přípravě a realizaci projektu zohledněny. V tomto závěrečném dílu vám představíme praktický přehled a shrnutí těch nejzásadnějších kroků, které je před účinností GDPR nutné realizovat, a také zrekapitulujeme rámcový plán celého projektu.

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) je strašák, který obchází české podnikatelské prostředí již od jara 2016, kdy vstoupilo jeho definitivní znění v platnost. Od té doby běží dvouletá přechodná doba končící v květnu roku 2018, během které mají všichni podnikatelé čas na to, aby se na plnění nových povinností řádně připravili. Momentálně zbývá do konce této doby zhruba půl roku a přípravy by již měly probíhat v plném proudu. Přesto jsou však jistě tací, kteří s přípravami otáleli a nyní neví, jak s nimi začít, nebo si nejsou jistí, na co se při přípravách zaměřit. Proto jsme pro vás připravili tuto sérii článků, která vám pomůže rychle se v problematice zorientovat, vhodně naplánovat projekt a pochopit nejdůležitější změny, které GDPR přináší.

Článek 17 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“, říká, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

Povinnost jmenovat pověřence pro ochranu osobních údajů je uvedena v článku 37 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Nařízení“. Toto Nařízení také uvádí, kdy mají soukromé subjekty povinnost jmenovat pověřence.

Účinnost Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) se kvapem blíží a většina organizací již nějakým způsobem zahájila projekt přípravy na plnění nových povinností, které jim toto nové nařízení ukládá. Pokud vaše společnost patří k těm, které ještě s přípravami nezačaly, doporučujeme projekt co nejdříve zahájit a přípravy nepodcenit. Návod na to, kde začít a jak projekt zahájit, najdete v předchozím díle této série článků. V tomto díle se budeme podrobněji věnovat analytické části projektu, a to etapě GAP analýzy a dopadové analýzy.

Díky čím dál tím větší mediální pozornosti se z Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR ) stalo velké téma, které řeší nejen odborná veřejnost, ale především všichni ti, kteří budou muset od jara roku 2018 dodržovat povinnosti, jež jsou tímto novým nařízením uloženy. GDPR je nové nařízení Evropské unie, jež s účinností od května 2018 zavádí nová často přísnější pravidla pro zpracování osobních údajů, která jsou přímo závazná na celém území Evropské unie.

V současné době je stále ještě oblast ochrany osobních údajů upravena zákonem č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů “).

Mezi základní zásady stanovené GDPR – Nařízením Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), patří i zásada integrity a důvěrnosti, která se vztahuje na zabezpečení osobních údajů. Nejrůznější prvky a povinnosti přispívající k zabezpečení osobních údajů při zpracování se proto objevují nejen ve 2. oddílu, ale nacházejí se průběžně v celém obecném nařízení.

Současnou právní úpravu ochrany osobních údajů představuje zákon č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, která stejně jako národní úpravy ostatních států Evropské unie vznikla na základě Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Poměrně běžnou situací je, že si účastník řízení během správního nebo přestupkového řízení pořizuje záznam tohoto jednání, a to jak obrazový, tak zvukový. Je tak pořizován záznam osoby, která vystupuje v pozici úřední osoby (veřejného činitele), jež jedná za správní orgán ve správním (přestupkovém) řízení. K této otázce se vyjádřil také Nejvyšší správní soud, který ve svém rozhodnutí ze dne 31. 3. 2010, čj. 5 As 37/2009-94 konstatoval, že účastník řízení má právo realizovat svá procesní práva a oprávněné zájmy a správní orgán je povinen umožnit účastníkům řízení uplatňovat v rámci výkonu veřejné správy jejich práva a oprávněné zájmy, které jim garantuje zákon.

V současné době je oblast ochrany osobních údajů upravena zákonem č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů “). Tento zákon byl vytvořen na základě Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. V průběhu času se začalo ukazovat, že tato směrnice již zastarává a neupravuje některé důležité oblasti, v nichž dochází k rozsáhlému zpracování osobních údajů. Jde například o zpracování osobních údajů v internetovém prostředí.

Cloud computing je dnes velmi často využívaná služba, která uživateli umožňuje využívat servery s větším výpočetním výkonem a úložný prostor na internetu. Uživatel tedy nemá data uložena na svém vlastním počítači, ale připojuje se na vzdálená zařízení poskytovatele, který mu tyto služby za odměnu poskytuje.

Zaměstnavatel koná ve vztahu ke svým zaměstnancům celou řadu činností. Některé souvisí bezprostředně s pracovněprávním vztahem, jiné tvoří ve vztahu k zaměstnanci nadstavbu různých benefitů apod. V průběhu zpracovávání osobních údajů během pracovněprávního vztahu může dojít k tomu, že zaměstnavatel dojde k názoru, že některé činnosti jej příliš zatěžují a odvádějí jej od jeho hlavní činnosti, a proto se rozhodne tyto – často administrativní – činnosti delegovat na jiný subjekt.