GDPR: Obecné nařízení o ochraně osobních údajů
EU vydala Obecné nařízení o ochraně osobních údajů, které čítá několik desítek stran, na kterých poměrně dlouze rozvádí, proč se rozhodla toto nařízení vydat a co si od něho slibuje.
Toto nařízení by mělo vstoupit v platnost v 25. května 2018 a nahradit zákon 101/2000Sb. O ochraně osobních údajů a směrnici EU 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Pokud bych měl shrnout, o čem GDPR vlastně je, tak v zásadě jde o to, že organizace, která zpracovává osobní údaje, musí o této skutečnosti prokazatelným a srozumitelným způsobem informovat osobu, jejíž osobní údaje zpracovává a sdělit ji jaká data, za jakým účelem a po jak dlouho dobu o ní bude zpracovávat.
Daná osoba ji pak musí udělit vědomý souhlas, a tento souhlas pak organizace musí chovávat po celou dobu, aby byla schopna doložit, že k řádnému informování dané osoby skutečně došlo, a že daná osoba ji udělila souhlas, který nebyl podmíněn získáním dané služby nebo produktu.
Daná osoba má právo požádat o smazání osobních informací, které o ní daná organizace zpracovává, a ta je povinna tomuto požadavku vyhovět. Jedná se o tzv. právo na výmaz, nebo také na zapomnění, který musí být stejně jednoduchý jako udělení souhlasu.
Organizace pak musí zajistit, že se k osobním datům nedostane neoprávněná osoba, a nedojde k jejich úniku. Za tímto účelem musí přijmout bezpečností opatření organizační a technické povahy a jmenovat tzv. pověřence pro ochranu osobních údajů (Data Protection Officer, zkr. DPO), což může být vlastní zaměstnanec, ale i externista přímo podřízený nejvýše postavenému představiteli organizace.
DPO pak bude za jejich implementaci a vyhodnocení jejich účinnosti odpovědný a bude rovněž povinen do 72 hodin hlásit případný únik nebo narušení bezpečnosti těchto informací dohledovému orgánu, což v našem případě bude nejspíš Úřad pro ochranu osobních údajů, zkr. ÚOOO a v případě hrozícího nebezpečí i dané osobě, jejíž data unikla. Na druhou stranu zase nařízení připouští, že ne vše se musí hlásit. Např. když nehrozí, že by únik informací mohl nějak výrazně poškodit subjekty, jichž se únik týkal.
To v praxi znamená, že musí být zajištěna bezpečnost informací během celého jejich životního cyklu a to při přenosu, v úložišti i při zpracování. Jinými slovy k těmto datům musí být řízen přístup na principu need-to-know a musí být auditovány veškeré přístupy k těmto datům a případně musí být tato data i šifrována. Problém je, že nařízení striktně neuvádí, jaká bezpečnostní musí daná organizace implementovat.
Což může být problém, protože v okamžiku, kdy dojde k neoprávněnému nakládání s osobními údaji, úniku těchto údajů a bude zjištěno, že organizace danou osobu neinformovala, nemá její souhlas, nepřijala patřičná bezpečnostní opatření, nebo incident nenahlásila, tak ji může být udělena pokuta.
Kdo však bude posuzovat, zda byla přijata ta správná bezpečností opatření, zda byla implementována správně, kde vlastně došlo k pochybení a jak vysoká pokuta by měla být udělena? Nezapomínejme, že může být udělena pokuta do výše 10-20 miliónů EUR nebo ve výši 2-4 % z celkového celosvětového obratu za minulé účetní období, podle toho, která bude vyšší.
Důležité je také sdělit, co toto nařízené považuje za osobní data. Jedná se o informace, pomocí kterých lze jednoznačně identifikovat danou osobu. Jenže za ty jsou kromě biometrických charakteristik, nebo informací o zdravotním stavu, považovány i takové informace, jako je např. IP adresa.
Vzhledem k tomu, že toto nařízení obsahuje několik problematických ustanovení, budeme se jim podrobně věnovat v následujících dílech.
ČERMÁK, Miroslav, 2017. GDPR: Obecné nařízení o ochraně osobních údajů. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/gdpr-obecne-narizeni-o-ochrane-osobnich-udaju/. [citováno 08.12.2024].
Štítky: GDPR
K článku “GDPR: Obecné nařízení o ochraně osobních údajů” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Tentokráte jde o příliš velké zjednidušení. Rozhodně není pravda, že správce musí mít souhlas. Musí mít právní základ, což je kromě souhlasu typicky plnění smlouvy, veřejný zájem, ale i třeba oprávněný zájem (což bude oblíbený a používaný právní titul).