Nařízení EU o ochraně osobních údajů a jaké povinnosti z toho pro Vás plynou
GDPR (General Data Protection Regulation) - nařízení EU účinné již od 25.5.2018!
Týká se to vaší firmy?
- Dodáváte zboží nebo služby fyzickým osobám?
- Máte zaměstnance?
- Vedete si záznamy o potenciálních klientech?
- Pracujete s fyzickými podnikateli (FOP)?
- Posíláte svým zákazníkům newslettery nebo obchodní nabídky?
- Máte pro zákazníky věrnostní program?
- Máte záznamy o zástupcích svých dodavatelů?
- Vedete si evidenci o uchazečích o zaměstnání?
- Mapujete chování návštěvníků na svém webu a ukládáte si jejich IP adresy nebo jiné údaje?
- Máte v provozovně kamery?
Pokud jste si alespoň na jednu otázku odpověděli ANO, tak se vás GDPR určitě týká.
Co je GDPR?
GDPR (General Data Protection Regulation) je nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Jedná se o nejkomplexnější soubor pravidel na ochranu dat na světě. Představuje rovnováhu mezi legitimními zájmy správců a zpracovatelů dat a právem osob na soukromí.
Více informací naleznete na stránkách Úřadu pro ochranu osobních údajů- GDPR.
Celé znění nařízení můžete stáhnout ZDE.
Jaké jsou povinnosti?
Toto nařízení se týká téměř všech firem.
Každý subjekt, který pracuje s osobními údaji, bude muset doržovat celou řadu nových pravidel a bude je muset prokazatelně doložit po celou dobu jejich zpracování.
Dochází k rozšíření definice osobních údajů, jakými jsou jméno, pohlaví, věk, datum narození, osobní stav a celá řada dalších informací.
Vztahuje se to i na technícké parametry jako je e-mail, IP adresa, telefonní číslo nebo cookies v zařízení uživatele. Přísnějšímu režimu bude také podléhat zpracování biometrických a genetických údajů.
Pro firmy to bude představovat velkou administrativní, časovou i finanční zátěž. Mezi povinnostmi je například:
- povinnost vést záznamy o činnostech zpracování
- posouzení vlivu na ochranu osobních údajů
- ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů v termínu
- implementace záměrné a nezbytné ochrany dat
- vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA (Data Protection Impact Assessment)
- jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
- zavedení tzv. pseudonymizace osobních údajů
- konzultace s dozorovým orgánem před samotným zpracováním osobních údajů
Problematika a povinnosti z ní vyplývající jsou natolik rozsáhlé, že doporučujeme konzultaci s právníkem.
Od kdy platí?
Nařízení bylo schváleno Evropským parlamentem 14. 4. 2016 po 4 letém vyjednávání. Nahrazuje směrnici 95/46 EC s účinností od 25. 5. 2018 a v ČR zákon č. 101/2000 Sb. na ochranu osobních údajů.
Jaké hrozí sankce?
Pokuty jsou velmi vysoké.
Mohou být ve výši 20 mil. EUR nebo 4% z celkového ročního obratu celosvětově za předchozí finanční rok či ve výši 10 mil. EUR nebo 2% z celkového ročního obratu celosvětově za předchozí finanční rok.
Co mám udělat?
Mějte na paměti, že k datu 25.5.2017 musíte být připraveni.
Nejprve je potřeba analyzovat současný stav firmy s ohledem na to, s jakým typem osobních údajů pracujete a zejména jaký je právní titul a účel k tomuto zpracování.
Následně definujete rizikové oblasti, které je potřeba uvést v soulad s pravidly GDPR.
Doporučujeme konzultovat vaši situaci s renomovaným právníkem a již nyní začít pracovat na implementaci potřebných opatření, abyste vše v termínu stihli.