Poslední aktualizace: |

Nařízení evropského parlamentu a rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), nabývá účinnosti dne 25.05.2018 (dále “GDPR”). To znamená, že všichni se tímto nařízením od tohoto data musí řídit.

Pokud se hovoří o tom, že GDPR přináší revoluci v ochraně osobních údajů, je toto dost relativní, jelikož, jak si ukážeme níže, pro menší podnikatele se ve faktickém výkonu jejich běžné činnosti příliš mnoho nemění a některé věci GDPR naopak oproti stávající právní úpravě zjednodušuje, např. ruší povinnost registrace. Za revoluci v ochraně osobních údajů v pravém slova smyslu lze považovat jen to, že GDPR, jako právní předpis EU, bude v ČR přímo závazným předpisem, obdobně jako běžný český zákon. Toto znamená především vyšší stupeň harmonizace, resp. sjednocení zákonů na úseku ochrany osobních údajů v EU.

S ohledem na přeshraniční obchodní styk podnikatelů ale i uzavírání spotřebitelských smluv spotřebiteli v rámci EU, dle našeho názoru to kromě často deklarované zvýšení ochrany subjektu údajů, zjednoduší a zlepší orientaci a výklad dotčených právních předpisů, což je výhodnější i pro ty, kterým GDPR ukládá především povinnosti. Máme za to, že na tomto nic nemění ani přijetí českého adaptačního zákon ke GDPR, který upravuje drobné povolené odchylky a upřesnění od GDPR.

Některé nové povinnosti zpracovatelů osobních údajů, které GDPR přináší oproti stávající právní úpravě

Oproti stávající právní úpravě GDPR zákonem o ochraně osobních údajů (zák. č. 101/2000 Sb.) lze zmínit zejména následující povinnosti zpracovatelů. Tyto povinnosti se ale nevztahují plošně na všechny zpracovatele:

  • záznamy o činnostech zpracování, 
  • jmenování pověřence pro ochranu osobních údajů,
  • posouzení vlivu na ochranu osobních údajů, 
  • předchozí konzultace s dozorovým úřadem,
  • povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.

Záznamy o činnostech zpracování

Tyto záznamy svým způsobem nahrazují stávající oznamovací povinnost zpracovatelů Úřadu pro ochranu osobních údajů (ÚOOÚ). Jedná se o obecné záznamy o zpracování osobních údajů správcem nebo zpracovatelem. Není nutno je provádět každodenně. Konkrétně musí záznamy obsahovat minimálně následující informace:

  • U správce:
    • Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů
    • Účely zpracování
    • Popis kategorií subjektů údajů a kategorií osobních údajů
    • Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
    • Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
    • Je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
    • Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření
  • U zpracovatele nebo jeho zástupce:
    • Jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů
    • Kategorie zpracování prováděného pro každého ze správců
    • Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
    • Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření

    Záznamy o činnostech nemusí vést podnikatel (organizace) zaměstnávající méně než 250 zaměstnanců, ledaže zpracováván osobních údajů může být z hlediska GDPR rizikové. Toto riziko zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení tohoto rizika je ale lépe se obrátit na naši AK.

    Jmenování pověřence pro ochranu osobních údajů

    Pověřence musí jmenovat správce osobních údajů a zpracovatel, jestliže je např. zpracování prováděno orgánem veřejné moc, jde o rozsáhlé zpracovávání, jde o zpracovávání zvláštních kategorií osobních údajů nebo údajů z rozsudku v trestních věcech.

    Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

    Posouzení vlivu na ochranu osobních údajů

    Předchozí posouzení vlivu na ochranu osobních údajů je nutné u zpracovávání u něhož je vysoké riziko porušení práv a svobod fyzických osob, což bude především v následujících situacích:

    • systematické a rozsáhlé vyhodnocování osobních údajů fyzických osob založené na automatizovaném profilování,
    • rozsáhlé zpracovávání zvláštní kategorií osobních údajů nebo rozsudků v trestních věcech,
    • rozsáhlé monitorování veřejně přístupných prostor.

    Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

    Předchozí konzultace s dozorovým úřadem

    Tato povinnost platí pro správce, pokud z posouzení vlivu na ochranu osobních údajů vyplývá vysoké riziko, které přetrvává i když správce přijme opatření k jeho zmírnění.

    Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

    Povinnost ohlašovat porušení zabezpečení osobních údajů ÚOOÚ a subjektu údajů

    Ohlašování porušení ÚOOÚ

    Správce osobních údajů je povinen jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu (pokud možno do 72 hodin) od okamžiku, kdy se o něm dozvěděl, ohlásit ÚOOÚ, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Toto ohlášení musí obsahovat:

    • Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
    • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
    • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
    • Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
    • Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
    • Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tuto dokumentaci musí na vyžádání předložit ÚOOÚ.

    Ohlašování porušení ÚOOÚ subjektu údajů

    Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Toto oznámení musí minimálně obsahovat:

    • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
    • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
    • Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

    Oznámení není nutné pokud:  

    • správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
    • správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
    • vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření. 

    Právní vzory k bezplatnému stažení

    Zde jsou k dipozici, k bezplatnému stažení, některé smluvní a právní vzory související s tématem tohoto příspěvku a s právní pomocí zajišťovanou naší advokátní kanceláří:

    [wpfd_category id="293"]

    Další prémiové smluvní a právní vzory v této, a v dalších souvisejících kategoriích, jsou k dispozici k bezplatnému stažení zde. Aktuálně lze bezplatně stahovat 71 smluvních a právních vzorů. Pro placené stahování je nyní k dispozici 121 prémiových vzorů. Přístup k těmto placeným prémiovým vzorům je za přiměřené předplatné. K samotnému předplatnému vzorů lze dále volitelně získat i předplatné další právní pomoci.

    Rezervujte konzultaci k otázkám řešeným tímto článkem

    [bookly-form staff_member_id="2"]

    Nebo zadejte veřejný bezplatný dotaz advokátovi

    ]]>