úterý 23. ledna 2018

Nové povinnosti podle GDPR

GDPR je založeno na dvou nových přístupech, a to na principu odpovědnosti správce a přístupu založeném na riziku.

Princip odpovědnosti znamená odpovědnost správce za dodržení uvedených zásad zpracování a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.

Jde o aplikaci některých povinností v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko pro práva a svobody fyzické osoby. V tomto rozsahu se princip založený na riziku uplatňuje zejména u nových povinností, jako je ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.

Soulad zpracování osobních údajů se zásadami GDPR

Správce musí být schopen stanovenou odpovědnost za soulad zpracování se zásadami GDPR vždy prokázat. K tomu mají správci napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování.

Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví). Osvědčení má sloužit k prokázání souladu zpracování s GDPR.

Správci jsou povinni vést záznamy o činnostech zpracování obsahující informace o prováděném zpracování. To umožní správci lehčí orientaci ohledně zpracování, která provádí.

Dokládání souladu komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které GDPR ukládá správci zveřejňovat, vyhotovení vnitřních předpisů, proškolení zaměstnanců až po řádnou spolupráci s příslušným dozorovým úřadem.

Kodexy a osvědčení

Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat s cílem upřesnit uplatňování GDPR.

Návrh kodexu musí být předložen příslušnému dozorovému úřadu, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s GDPR a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru.

Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s GDPR. Mají se přitom zohlednit specifické potřeby mikropodniků a malých a středních podniků.

Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení nebo příslušný dozorový úřad uvedené osvědčení odeberou.

Osvědčením se však nesnižuje odpovědnost správce nebo zpracovatele za soulad s GDPR!

Nové povinnosti podle GDPR

Základní zásady a principy zakotvené v zákoně č. 101/2000 Sb., o ochraně osobních údajů zůstávají ve své podstatě nezměněny. GDPR je pouze podrobněji rozpracovává a zpřesňuje s ohledem na rozmach technologického rozvoje a globalizaci, přičemž stanoví správcům a zpracovatelům osobních údajů zejména tyto nové povinnosti:

  • povinnost vést záznamy o činnostech zpracování
  • posouzení vlivu na ochranu osobních údajů
  • předchozí konzultace s dozorovým úřadem
  • ohlašování případu porušení zabezpečení osobních údajů dozorovému úřadu
  • oznamování případu porušení zabezpečení osobních údajů subjektu údajů
  • ustavení pověřence pro ochranu osobních údajů

Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence, jsou ostatní nové povinnosti založeny na přístupu založeném na riziku. Jejich uplatnění je vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů. Pro určitá zpracování, resp. určité subjekty, je povinností ustanovit pověřence pro ochranu osobních údajů.

Záznamy o činnostech zpracování

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla GDPR zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s GDPR.

Vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob. To neplatí, jde-li o zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.

Posouzení vlivu na ochranu osobních údajů se vyžaduje především u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky; u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech; nebo u rozsáhlého systematického monitorování veřejně přístupných prostorů.

Konzultace s dozorovým úřadem

Správce je povinen konzultovat zpracování osobních údajů s dozorovým úřadem tehdy, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.

Žádné komentáře:

Okomentovat