Asi nikomu z nás neuniklo to, že se blíží 25. květen . Tímto dnem vstoupí v platnost nové Obecné nařízení o ochraně osobních údajů* vycházející z klávesnice evropských zákonodárců.
(*nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES neboli GDPR)
Nařízení je závazné a bezprostředně použitelné v každém členském státě, aniž by k tomu byly potřebné, nebo vyhrazené, jakékoliv kroky na národní úrovni účinnost nová právní úprava.
Jednou z řady významných změn, které tato nová úprava přináší, je zrušení oznamovací povinnosti, která je v současné době správcům osobních údajů uložena ustanovením § 16 zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění.
Více povinností však vzniká.
Vize vs. realita
Všichni víme, že zákony vznikají na určitý popud. Asi největší popud k tomuto kroku vychází z toho, že se v každodenním životě častěji setkáváme s IT technologiemi. Mnoho z nás si možná neuvědomujeme, že vyhledavač Google ani Facebook není zcela zdarma, je to velmi promyšlený nástroj určený i k monitoringu potencionálních zákazníků – tyto data jsou velmi ceněná a obchodovatelná. Nařízení má sloužit k tomu, aby jsme byli chráněni a zabránili nejen těmto korporacím ledabyle bez našeho souhlasu obchodovat s našimi osobními daty (IP adresa, fotografie, dat narození či pouze preference volnočasových aktivit). A dává právo být zapomenut.
Inovace a předstih těchto korporací společně s naší „závislostí“ a dychtivostí po zdarma veřejně dostupných informacích nás žene do kouta. Je otázkou pár kliknutí, kdy Vás tyto společnosti vyžádají o odsouhlasení zpracovávání Vašich dat pod podmínkou, že jinak již nebude možné využívat nejvýznamnější světový vyhledavač nebo služby Cloud zcela zdarma. Obávám se, že nařízení je ve výsledku vhodný nástroj pro „zabrzdění“ inovativních začínajících firem, jež nemají dostatečnou databázi, zkušenosti …. ale to není tématem tohoto článku.
Zde se budeme snažit rozepsat fakta pro malé a střední podniky:
Jestli se již nyní řídíte zákonem č. 101/2000 Sb. a nejste firmou, která prodává či spravuje informace o fyz.osobách (mail, telefon, osobní data) nebudete muset ve většině případů významněji měnit Vaše postupy, ale budete zejména „prověřovat a provětrávat skříně“.
Je zde zaveden princip zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.
Uvědomte si, že zákonná povinnost je vždy nadřazena tomuto nařízení (komunikace s úřady, policií, data potřebná ke zpracování a vyplacení mzdy – apod.)
POZOR – pokud používáte biometrický docházkový systém, nejedná se o zákonnou povinnost evidence docházky.
1)správci osobních údajů budou povinni sami vést záznamy o činnostech zpracování
Co to znamená: již nyní by jste si měli zkontrolovat data, která uchováváte. Zajistit jejich uložení či případnou likvidaci. Vytvořit si například mapu toku – jak a kdo s nimi nakládá, včetně toho, jak jsou zabezpečeny a kdo k nim má přístup.
DOPORUČENÍ: zkontrolujte si např. smlouvy s Vašimi dodavateli softwaru či externí dodavatele zajišťující zálohování dat apod. Revizi dat, které požadujete např. od zákazníků – doplňte důvod proč je potřebujete (dodání pozvánky na akci naší společnosti případně společností „farmářské trhy, den otevřených dveří apod.“).
2) v případě vysoce rizikových zpracování provést posouzení vlivu na ochranu osobních údajů
Příklad: Osobní data zaměstnanců – přístup pouze účetní a mzdová účetní, obě poučeny a proškoleny, že nemohou předaná data využít jinak, než určuje jejich smlouva.
Zajištění:
školení, fyzické dokumenty zamknuty ve skříni (šanony), osobní heslo k PC a k softwaru, antivirus, plán pokud dojde k odcizení dat (zajistím místo, informuji osobu XY či jeho zástupce) apod.
3) teprve v případě, že vysoká rizika nelze eliminovat, obrátit se na Úřad s žádostí o konzultaci
Jmenování pověřence pro ochranu osobních údajů není povinné.