CS - mobilní   |   EN - mobilní

Nová povinnost pro podnikatele na poli ochrany osobních údajů

Nová povinnost pro podnikatele na poli ochrany osobních údajů

Dne 25. května 2018 vstoupí v účinnost Nařízení EU 2016/679 o ochraně osobních údajů (dále také jen Nařízení). Nařízení bude přímo účinné a sjednotí tak v členských státech EU právní úpravu týkající se ochrany osobních údajů. Cílem Nařízení je především zvýšit ochranu osobních údajů občanů EU. Nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Z této působnosti jsou stanoveny jisté výjimky, tyto se však na podnikatelskou činnost víceméně neuplatní.

Nařízení ovlivní nejen firmy a instituce, ale i jednotlivce. Míří na všechny, jež zacházejí s osobními údaji občanů EU, tedy jak zaměstnanců, tak i klientů či spolupracujících osob. Dále míří také na ty, jež mapují či analyzují chování uživatelů na webu. Cílem Nařízení je rovněž chránit digitální práva.

První novou povinností bude povinnost provádět posouzení dopadu na ochranu osobních údajů. Obecná oznamovací povinnost spočívající v nutnosti oznamovat dozorovému orgánu jakékoliv zpracování, na které se nevztahovala zákonná výjimka, bude zrušena a nahrazena mechanismy jinými, zaměřujícími se především na zpracování představující vysoké riziko z pohledu práv a svobod subjektů údajů. Při těchto zpracováních bude potřeba provést tzv. posouzení dopadu na ochranu osobních údajů (posouzení bude obsahovat systematický popis zamýšleného zpracování, posouzení jeho rizik, provedení testu proporcionality a zhodnocení nezbytnosti zamýšleného zpracování). V posouzení dopadu bude muset správce mj. definovat přijatá bezpečnostní opatření a záruky k eliminaci předem definovaného vysokého rizika. S touto povinností bude souviset povinnost správce v určitých případech předem oznámit dozorovému orgánu tato zamýšlená zpracování k předběžné konzultaci, a to v případech, kdy z posouzení dopadu vyplyne vysoká rizikovost zpracování a správce bude toho názoru, že riziko nelze zmírnit přiměřenými prostředky s ohledem na dostupnost technologií a náklady na jejich zavedení. Dozorový orgán pak bude zkoumat soulad zamýšlených opatření s Nařízením.

Další povinností bude vést záznamy o všech zpracováních, za něž ponesou správce nebo zpracovatel, případně jejich zástupci, odpovědnost (jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů). Výjimky z této povinnosti se budou vztahovat na podniky s méně než 250 zaměstnanci. Jelikož však i tyto malé podniky mohou zpracovávat velký objem dat, bude se výjimka vztahovat pouze na ta zpracování, jež nelze kvalifikovat jako riziková.

Další povinností bude ohlašování případů narušení bezpečnosti osobních údajů. Dle Nařízení bude muset každý správce nejpozději do 72 hodin od okamžiku, kdy se o narušení dozví, plnit oznamovací povinnost vůči dozorovému orgánu. Výjimkou bude pouze narušení bezpečnosti, jež pravděpodobně nebude představovat riziko, půjde nejspíš především o nevýznamnější bezpečnostní incidenty. Povinnost správce oznamovat bezpečnostní incidenty dozorovému orgánu je doplněna povinností oznamovat tyto samotným dotčeným subjektům, a to v případě narušení představujícího vysoké riziko pro práva a svobody fyzických osob. Oznámení případů narušení bezpečnosti subjektu údajů nebude nutné provádět, pokud správce bude schopen prokázat, že zavedl příslušná technická a organizační ochranná opatření, která byla použita u údajů dotčených narušením bezpečnosti (např. šifrování údajů, pseudonymizace, apod.), nebo prokáže, že přijal následná opatření, která zajistí, že riziko pro práva a svobody subjektů údajů se pravděpodobně již nebude opakovat.

Další novinkou Nařízení bude povinnost jmenovat pověřence pro ochranu osobních údajů, kdy jeho úkolem je zajišťování souladu zpracování s Nařízením. Tato bude explicitně stanovena pro orgány veřejné moci, zpracovatele a správce, kteří v rámci své hlavní činnosti vyžadují pravidelné a systematické monitorování subjektů údajů v širokém rozsahu anebo jejichž hlavní činnosti spočívají ve zpracování zvláštních kategorií osobních údajů.

Nařízení dále fyzickým osobám stanoví jednodušší přístup k jejich osobním údajům tím, že zpracovatelé budou muset důkladněji informovat o způsobu zpracování jejich osobních údajů. Tyto informace budou muset být dostupné v jasné a srozumitelné podobě. Také budou kladeny nové požadavky na souhlas subjektu údajů se zpracováním svých osobních údajů (např. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků). Prokázání tohoto souhlasu bude povinností správce. Fyzické osoby budou nově disponovat také právem na přenositelnost osobních údajů mezi poskytovateli služeb a dnes zejména v souvislosti s internetovými vyhledávači často diskutovaným právem být zapomenut, které spočívá v tom, že pokud si to subjekt údajů nepřeje a správci či zpracovateli nesvědčí žádný právní titul, musí být osobní údaje vymazány. Obecnou povinností správce i nadále zůstane povinnost zavést vhodná technická a organizační opatření a postupy tak, aby dané zpracování splňovalo požadavky Nařízení a zaručovalo ochranu práv subjektů údajů.

Významným počinem Nařízení je také vyřešení otázky cookies, kdy výslovně stanoví, že osobními údaji mohou být i síťové identifikátory jako například IP adresa nebo právě cookies. Pokud tak bude možné identifikovat konkrétní osobu prostřednictvím cookies nebo jiných obdobných údajů, pak bude povinností provozovatelů webových stránek vyžádat si předchozí souhlas s používáním těchto cookies či obdobných údajů.

Nařízení zavádí i sankce. Případným porušením povinností vyplývajících z Nařízení budou subjekty vystavovány vysokým pokutám. Dozorový orgán bude moct uložit pokutu až do výše 10 mil. EUR nebo u podniku až 2 % celkového ročního světového obratu v případě méně závažného porušení, v případě závažnějšího porušení až do 20 mil. EUR nebo u podniku až 4 % celkového ročního světového obratu.

V důsledku Nařízení budou tak podnikatelé muset jednotlivé povinnosti ve své činnosti zohlednit a těmto se přizpůsobit.

V případě jakýchkoliv dotazů stran dopadu Nařízení či za účelem včasné implementace Nařízení do vnitropodnikových předpisů nás můžete kdykoliv kontaktovat.

← Zpět na hlavní stranu

Kontakt

Mgr. Martin Sýkora

advokát
ev.č. ČAK: 14478
ID datové schránky: z3xi6ax
tel.: +420 602 810 990
e-mail: sykora@legalsk.cz
skype: aksykora

Mgr. Jiří Kania

advokát
ev.č. ČAK: 14290
ID datové schránky: z6nijkz
tel.: +420 602 551 761
e-mail: kania@legalsk.cz
skype: kania.jiri

Adresa

Sídlo:
  • Sadová 171/40, 746 01 Opava
Pobočky:
  • Stodolní 1293/3, 702 00 Ostrava
  • Křižíkova 52, 186 00 Praha 8-Karlín

Bankovní spojení

Fio banka a.s.
CZK: 2900708732 / 2010
EUR: 2800708743 / 2010

IČ: 73734021
DIČ: CZ8310115253

E-poradenství

Rubrika „E-poradenství“ slouží k zodpovězení dotazů v obecné rovině s návrhem na konkrétní způsob řešení či k případnému nasměrování k jinému odborníkovi, např. k notáři či exekutorovi.

Tato rubrika též slouží k rychlému zjištění, zda v konkrétním termínu či lhůtě umožňuje pracovní harmonogram advokáta poskytnout klientovi právní službu či právní zastoupení v soudním či správním řízení a za jakých finančních podmínek.

Online poradenství je poskytováno přes kontaktní formulář níže, či jiné přímé online kontakty.