Za necelý rok vyjde v platnost nové evropské nařízení tzv. GDPR (General Data Protection Regulation či česky obecné nařízení na ochranu osobních údajů), které má za cíl zvýšení ochrany osobních údajů všech obyvatel EU. Poprvé jsme se o něm dozvěděli 27. dubna 2016 v Ústředním věštníku Evropské unie. V platnost však vyjde až příští rok. Pokud již dnes zpracováváte osobní údaje jednotlivců, tak se v tomto článku dočtete, na co se musíte připravit a jaké hlavní změny toto nařízení vám či vaší firmě přinese.
Kdy a na co se byste se měli připravit
Všichni, kteří s osobními údaji nakládají, mají čas na implementaci nových postupů a zabezpečení do 25. května 2018. Od tohoto data vše začne platit. Zpracovatelé osobních údajů budou muset například dokumentovat zpracování pouze těch údajů nezbytně souvisejících pro konkrétní činnost. Navíc se zavádí tzv. princip zodpovědnosti, jehož smyslem je zavést taková technologická, procesní a organizační opatření, která budou ovlivňovat následující oblasti:
- Nové požadavky, o které je nutné rozšířit stávající smlouvy.
- Posouzení vlivu ochrany osobních údajů a případný kompletní audit ochrany osobních údajů.
- Jmenování pověřené osoby tzv. pověřence (data protection officer – DPO). Jeho úkolem bude dohlížet na zpracování/nakládání a ochranu osobních údajů a případnou komunikaci s úřadem pro ochranu osobních údajů.
- Měli byste začít vést záznamy o činnostech zpracování údajů
- Zavedení pseudonymizace. (Nový způsob zpracování osobních údajů, který neumožnuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací. Tyto informace musejí být uchovány odděleně a navíc s dostatečnou technologickou a organizační/procesní ochranou.)
Jaké hlavní změny toto nařízení přinese?
Hlavní změnou bude rovnocenná vymahatelnost práva u osob v celé Evropské unii a případná výše pokuty pro firmy a podnikatele při nesplnění požadavků. Z hlediska fyzických osob se bude jednat o mnohem jednodušší vymahatelnost práva, snadné smazání osobních údajů, možnost podat tzv. námitku proti zpracování konkrétního osobního údaje. Úplnou novinkou bude celoevropsky plošné právo na výmaz a jeho rozšíření tzv. právo na zapomenutí. Kromě toho všeho se významně rozšiřuje definice osobních údajů o technické atributy, jako je e-mail, IP adresa, cookie a další.
Přečtěte si dále k tématu Fintech problematiky:
Hrozba vysokých pokut tu je, ale nepanikařte
Jelikož se jedná o jedno z nejrozsáhlejších nařízení, které v této oblasti vyšlo za posledních dvacet let, tak s jeho nedodržením souvisí i pokuty sahající až do výše 20 000 000 EUR u fyzických osob nebo maximálně 4 % z celkového obratu u společností. Kromě toho můžete také přímo čelit konkrétním žalobám ze stran fyzických osob, které utrpěly hmotnou či nehmotnou újmu a požadují náhradu vzniklé škody.
Celou problematiku vám doporučujeme sledovat, abyste vás či vaši firmu a všechny procesy včas zodpovědně připravili na nově nadcházející legislativní změny. Není ale třeba panikařit, protože naše země má již teď poměrně přísná nařízení pro nakládání s osobními údaji.