GDPR – už 25. května! Jak se na něj připravit?

Podnikáte? A máte v kalendáři vyznačeno datum 25. května 2018 červeně a s velkým vykřičníkem? Měli byste.

Tímto dnem totiž vstoupí v účinnost nové nařízení Evropského parlamentu a Rady EU č. 2016/679 (General Data Protection Regulation – GDPR), které upravuje ochranu osobních údajů fyzických osob. GDPR se dotkne všech podnikatelů, kteří obchodují s občany členských států Evropské unie, a to bez výjimky. Nebude záležet na tom, zda jste malý živnostník či nadnárodní korporace, ani jestli sídlíte v Evropské unii nebo mimo ni. Povinnost podřídit se GDPR budou mít VŠICHNI podnikatelé.

Jak píšeme v novém magazínu Business Leaders, GDPR je mnoha odborníky označováno za největší změnu v oblasti ochrany osobních údajů za poslední desítky let. V Česku GDPR nahradí zákon o ochraně osobních údajů, který bude po novele obsahovat pouze některé otázky týkající se Úřadu pro ochranu osobních údajů. Ten se s účinností GDPR stane dozorovým úřadem. Práva a povinnosti vázaná k získávání a zpracování osobních údajů budou nově obsažena pouze v GDPR.

Proč to Češi podceňují

Pokud v rámci podnikání jakkoli pracujete a nakládáte s osobními údaji zaměstnanců, klientů nebo dodavatelů, tak se i Vás týká nová úprava GDPR. S ohledem na hrozící sankce je nutné se na novou právní úpravu včas a dostatečně připravit. Proč to Češi podceňují? Protože často nevědí, že jelikož se jedná o evropské nařízení, je GDPR přímo aplikovatelné v českém prostředí bez nutnosti jeho zavedení do českého právního řádu formou dalších zákonů. Čeští poslanci o něm nemluví, protože to není jejich kompetence.

Ptáte se tedy: Proč vůbec bylo GDPR přijato na úrovni Evropské unie, a ještě formou nařízení?

K čemu vůbec GDPR je

Jednak, a to především, přestala nynější právní úprava odpovídat současným trendům. Prostředky, sloužící ke zpracování osobních údajů, již přestaly dostačovat. Obrovský vliv měl masivní nástup dostupného a všudypřítomného internetového připojení.

Druhým důvodem byly propastné rozdíly v úpravách této oblasti jednotlivými členskými státy EU a potřeba jejich sjednocení.

Třetím důvodem pro společnou úpravu ochrany osobních údajů v rámci celé EU byla větší následná vynutitelnost sankcí za porušování povinností na poli ochrany osobních údajů hlavně vůči nadnárodním korporacím.

Hlavním cílem GDPR je ale upravit podmínky nakládání a zpracování osobních údajů tak, aby zajistily jejich co možná nejvyšší ochranu – jak po stránce technologické, tak z hlediska ochrany práv nositelů těchto údajů.

Nové povinnosti

Předně právní úprava v novém nařízení zavádí princip odpovědnosti správce osobních údajů za dodržování zásad zpracování těchto údajů. Nově bude nutné, aby byl správce osobních údajů schopen dodržování těchto zásad doložit, a sice prostřednictvím kodexů chování, osvědčení či certifikací, nebo prostým záznamem o činnostech zpracování osobních údajů.

Všichni podnikatelé, respektive správci osobních údajů, musejí dodržovat a provádět následující povinnosti: Zejména povinnost vést záznamy o zpracování osobních údajů, provádět posouzení vlivu na ochranu osobních údajů nebo ustanovit pověřence pro ochranu osobních údajů. O případném porušení zabezpečení osobních údajů bude správce osobních údajů povinen bez zbytečného odkladu informovat národní Úřad pro ochranu osobních údajů.

Bez podmínek

Podle GDPR lze zpracovávat osobní údaje fyzických osob jen na základě některého z důvodů, který je uveden v novém nařízení. Mezi takové důvody patří souhlas fyzické osoby se zpracováním jejích osobních údajů, nebo plnění smlouvy či právních povinností. Tento souhlas fyzické osoby bude muset být správce osobních údajů schopen doložit, přičemž uvedený souhlas nemůže být ze strany podnikatele žádným způsobem podmíněn prodejem zboží nebo poskytnutím služby. Navíc souhlas musí být viditelně odlišen od ostatních smluvních ujednání, respektive všeobecných obchodních podmínek.

Pokud nebude zpracování osobních údajů nezbytné kvůli plnění smlouvy či jiného důvodu uvedeného v GDPR, bude moci být jednou daný souhlas se zpracováním osobních údajů tímto klientem kdykoliv odvolán.

GDPR dále nově upravuje právo „být zapomenut“ nebo právo na
přenositelnost osobních údajů. Podnikatel tak bude muset být zejména technicky připraven na to, že bez zbytečného odkladu bude muset danému subjektu údajů (klientovi), který o to požádá, vydat veškeré o něm shromažďované osobní údaje, a to v běžně používané, strojově čitelné podobě.

Správce je povinen zajistit, aby jím shromažďované a zpracovávané osobní údaje fyzických osob byly aktuální a aby tyto fyzické osoby mohly svá práva zakotvená v GDPR aktivně vykonávat.

Už máte pověřence?

Zcela novým institutem je funkce pověřence pro ochranu osobních údajů. Tím může být jak zaměstnanec (s několika výjimkami), tak externí pracovník, přičemž jeho hlavní činností bude dohled nad dodržováním činností správce osobních údajů dle GDPR a poskytování poradenství správci osobních údajů v této oblasti.

Dále bude odpovědný i za komunikaci s Úřadem pro ochranu osobních údajů. Pověřence pro ochranu osobních údajů budou muset jmenovat všichni podnikatelé, jejichž hlavní činnost vyžaduje pravidelné a systematické monitorování subjektů ve velkém měřítku, nebo spočívající v rozsáhlém zpracování citlivých údajů (nemocnice, lázně, hotely atd.). Ale ani orgány veřejné moci nebo veřejné subjekty se tomu nevyhnou (včetně obcí, škol atd.).

Pokuta až půl miliardy korun

Pokud dojde k porušení povinností správce osobních údajů uvedených v GDPR, může dojít jak k uplatnění nároků ze strany samotných subjektů osobních údajů, tak k uložení pokuty Úřadem pro ochranu osobních údajů. Výše pokuty se bude odvíjet od intenzity porušení povinností, ale může činit až 4 % celkového celosvětového ročního obratu nebo až 20 000 000 eur.

S ohledem na rychle se krátící dobu je nejvyšší čas začít se zabývat přípravou na splnění povinností, které GDPR klade na podnikatele a veřejné instituce. Za tímto účelem je nezbytné provést vnitřní audit současného stavu ochrany osobních údajů u podnikatele, v rámci něhož budou identifikovány příslušná rizika a hrozící problémy.

Aby bylo skutečně vyhověno všem požadavkům GDPR, bude nezbytné připravit nebo upravit příslušné právní dokumenty, zejména vnitřní předpisy, směrnice a přijmout vhodné právní i technologické prostředky k implementaci všech povinností uvedených v GDPR. Nelze se přitom spolehnout na obecné vzory a postupy, když budou jednotlivá opatření pro každého podnikatele výjimečná a značně individualizovaná.

Už máte vyjednané odborníky, kteří Vás dokážou provést procesem implementace a přizpůsobení se GDPR, a to bez větších problémů?

Nebo to zkusíte sami?

Více v magazínu Business Leaders. Nové vydání je možno získat pouze zde.

© Petr Casanova, ve spolupráci s UBC – United Business Clubem a advokátní kanceláří Hajduk (Richard Koliba, Viet Do Pham)