Nařízení evropského parlamentu a rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), nabývá účinnosti dne 25.05.2018 (dále “GDPR”). To znamená, že všichni se tímto nařízením od tohoto data musí řídit.

Pokud se hovoří o tom, že GDPR přináší revoluci v ochraně osobních údajů, je toto dost relativní, jelikož, jak si ukážeme níže, pro menší podnikatele se ve faktickém výkonu jejich běžné činnosti příliš mnoho nemění a některé věci GDPR naopak oproti stávající právní úpravě zjednodušuje, např. ruší povinnost registrace. Za revoluci v ochraně osobních údajů v pravém slova smyslu lze považovat jen to, že GDPR, jako právní předpis EU, bude v ČR přímo závazným předpisem, obdobně jako běžný český zákon. Toto znamená především vyšší stupeň harmonizace, resp. sjednocení zákonů na úseku ochrany osobních údajů v EU.

S ohledem na přeshraniční obchodní styk podnikatelů ale i uzavírání spotřebitelských smluv spotřebiteli v rámci EU, dle našeho názoru to kromě často deklarované zvýšení ochrany subjektu údajů, zjednoduší a zlepší orientaci a výklad dotčených právních předpisů, což je výhodnější i pro ty, kterým GDPR ukládá především povinnosti. Máme za to, že na tomto nic nemění ani přijetí českého adaptačního zákon ke GDPR, který upravuje drobné povolené odchylky a upřesnění od GDPR.

Některé nové povinnosti zpracovatelů osobních údajů, které GDPR přináší oproti stávající právní úpravě

Oproti stávající právní úpravě GDPR zákonem o ochraně osobních údajů (zák. č. 101/2000 Sb.) lze zmínit zejména následující povinnosti zpracovatelů. Tyto povinnosti se ale nevztahují plošně na všechny zpracovatele:

  • záznamy o činnostech zpracování, 
  • jmenování pověřence pro ochranu osobních údajů,
  • posouzení vlivu na ochranu osobních údajů, 
  • předchozí konzultace s dozorovým úřadem,
  • povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu, resp. subjektu údajů.

Záznamy o činnostech zpracování

Tyto záznamy svým způsobem nahrazují stávající oznamovací povinnost zpracovatelů Úřadu pro ochranu osobních údajů (ÚOOÚ). Jedná se o obecné záznamy o zpracování osobních údajů správcem nebo zpracovatelem. Není nutno je provádět každodenně. Konkrétně musí záznamy obsahovat minimálně následující informace:

  • U správce:
    • Jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů
    • Účely zpracování
    • Popis kategorií subjektů údajů a kategorií osobních údajů
    • Kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích
    • Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
    • Je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
    • Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření
  • U zpracovatele nebo jeho zástupce:
    • Jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů
    • Kategorie zpracování prováděného pro každého ze správců
    • Informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk
    • Je-li to možné, obecný popis technických a organizačních bezpečnostních opatření

Záznamy o činnostech nemusí vést podnikatel (organizace) zaměstnávající méně než 250 zaměstnanců, ledaže zpracováván osobních údajů může být z hlediska GDPR rizikové. Toto riziko zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení tohoto rizika je ale lépe se obrátit na naši AK.

Jmenování pověřence pro ochranu osobních údajů

Pověřence musí jmenovat správce osobních údajů a zpracovatel, jestliže je např. zpracování prováděno orgánem veřejné moc, jde o rozsáhlé zpracovávání, jde o zpracovávání zvláštních kategorií osobních údajů nebo údajů z rozsudku v trestních věcech.

Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

Posouzení vlivu na ochranu osobních údajů

Předchozí posouzení vlivu na ochranu osobních údajů je nutné u zpracovávání u něhož je vysoké riziko porušení práv a svobod fyzických osob, což bude především v následujících situacích:

  • systematické a rozsáhlé vyhodnocování osobních údajů fyzických osob založené na automatizovaném profilování,
  • rozsáhlé zpracovávání zvláštní kategorií osobních údajů nebo rozsudků v trestních věcech,
  • rozsáhlé monitorování veřejně přístupných prostor.

Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

Předchozí konzultace s dozorovým úřadem

Tato povinnost platí pro správce, pokud z posouzení vlivu na ochranu osobních údajů vyplývá vysoké riziko, které přetrvává i když správce přijme opatření k jeho zmírnění.

Plnit tuto povinnost zpravidla nenastává u např. u běžného eshopu. Pro závazné posouzení nutnosti plnění této povinnosti je ale lépe se obrátit na naši AK.

Povinnost ohlašovat porušení zabezpečení osobních údajů ÚOOÚ a subjektu údajů

Ohlašování porušení ÚOOÚ

Správce osobních údajů je povinen jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu (pokud možno do 72 hodin) od okamžiku, kdy se o něm dozvěděl, ohlásit ÚOOÚ, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění. Toto ohlášení musí obsahovat:

  • Popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
  • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
  • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
  • Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
  • Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tuto dokumentaci musí na vyžádání předložit ÚOOÚ.

Ohlašování porušení ÚOOÚ subjektu údajů

Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. Toto oznámení musí minimálně obsahovat:

  • Jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace.
  • Popis pravděpodobných důsledků porušení zabezpečení osobních údajů.
  • Popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Oznámení není nutné pokud:  

  • správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
  • správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
  • vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření. 

Právní vzory k bezplatnému stažení

Zde jsou k bezplatnému stažení smluvní a právní vzory, související s tématem tohoto článku a s právní pomocí zajišťovanou naší advokátní kanceláří. Vzory jsou průběžně aktualizovány ke dni jaký je u každého vzoru uveden jako datum aktualizace:

Přístup ke všem prémiovým smluvním a právním vzorům s možností stahování, vyhledávání a filtrování, je k dispozici na zvláštní stránce, po bezplatné registraci [1 měsíc – zdarma], nebo formou předplatného [6 měsíců – 75 Kč] anebo [12 měsíců – 100 Kč].

Rezervujte konzultaci k otázkám řešeným tímto článkem

Načítám...

Nebo zadejte veřejný bezplatný dotaz advokátovi