dnes je 21.12.2024

Input:

Jak se připravit na nové nařízení o ochraně osobních údajů - 1. díl

26.3.2018, , Zdroj: Verlag Dashöfer

1.60
Jak se připravit na nové nařízení o ochraně osobních údajů – 1. díl

Mgr. Mgr. Radana Burešová

Dne 25. května 2018 nabude účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. GDPR nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který prováděl směrnici 95/46/ES, již nařízení ruší. Ochrana osobních údajů se tedy bude na celém území Evropské unie napříště řídit přímo GDPR.

Jelikož GDPR ještě neplatí, nebyla dosud vydána žádná rozhodnutí dozorových orgánů ani soudů související s jeho uplatňováním v praxi. Jejich funkci plní materiály vydávané tzv. skupinou WP29, která je poradním orgánem Evropské komise. Řada materiálů této pracovní skupiny, z nichž některé budou konkrétně zmíněny níže, je k dispozici i v češtině na této adrese .

GDPR se dostalo poměrně široké medializace, bohužel však způsobem, který spíše vyvolává obavy a vzbuzuje dojem, že se jedná o zcela novou právní úpravu. Dosud platný zákon je založen na velice podobných principech jako GDPR. Přesto GDPR přinese některé novinky.

I subjekty, které se dosud ochranou osobních údajů nezabývaly, ačkoli je nějak využívají ("zpracovávají" – viz čl. 4 odst. 2 GDPR) – tzv. správci, by měly GDPR věnovat pozornost, jelikož oproti zákonu o ochraně osobních údajů zavádí mnohem vyšší pokuty.

Správcem je v zásadě každá osoba, která zpracovává osobní údaje (viz níže).

V rámci přípravy na GDPR je vhodné provést následující kroky:

1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat

2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.

Dále se musí podniknout opatření:

3. ve vztahu k ochraně zpracovávaných osobních údajů

4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),

5. ve vztahu k dozorovému úřadu.

V tomto přehledu není zohledněno předávání osobních údajů do zahraničí, zejména do třetích zemí (mimo Evropskou unii) a mezinárodním organizacím, které představuje komplexní problematiku.

ad 1) Nakládání s osobními údaji

S osobními údaji fyzických osob přicházejí zejména podnikatelé do styku prakticky neustále, často, aniž by si uvědomovali, že se jedná právě o osobní údaje, které spadají do působnosti zákona o ochraně osobních údajů, resp. nově GDPR.

Podle čl. 4 bodu 1 GDPR se "osobními údaji" rozumí "veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby".

Běžně se setkáváme s osobními údaji jako je jméno, příjmení, adresa, e-mailová adresa, telefonní číslo, zachycení podoby (fotografie, videa, kamerový monitoring), ale i údaje o zdravotním stavu nebo o čerpaných zdravotních službách, data získaná prostřednictvím GPS nebo údaj o zaměstnání, který mj. implikuje ekonomickou situaci

Nahrávám...
Nahrávám...