Co přinese nový zákon o ochraně osobních údajů

1. Úvod
2. Blog
3. Zákony
4. Co přinese nový zákon o ochraně osobních údajů

Nový zákon o ochraně osobních údajů

Od 25.5 2018 vstoupí v platnost nový zákon o ochraně osobních údajů, který bude zohledňovat požadavky nařízení Evropského parlamentu a Rady EU, jinak nazvaný i GDPR (General Data Protection Regulation). Přináší velké změny a podnikatele čekají nové povinnosti, za které v případě neplnění hrozí likvidační pokuty.

Koho se nový zákon bude týkat:

• Všichni podnikatelé, kteří zpracovávají osobní údaje (osobní údaje zaměstnanců nebo zákazníků)
• Zprostředkovatelé, kteří zpracovávají osobní údaje jiných organizací (účetní, právníci, informatici, reklamní agentury…)

Co spadá do pojmu osobní údaj:

Osobní údaj je informace, která přímo nebo nepřímo identifikuje konkrétní fyzickou osobu (např. Jméno a příjmení, rodné číslo, číslo občanského průkazu nebo pasu). Co se týče emailu nebo telefonního čísla je to složitější. Záleží, zda se dá přímo spojit s konkrétní osobou (obecné telefonní čísla do organizací nebo obecné emaily do kategorie osobních údajů nespadají). Další typy osobních údajů::

• fotografie,
• otlaček prstu, případně jiné biometrické údaje,
• hlas,
• číslo účtu,
• lokalizační údaje.

10 hlavních změn v novém zákoně o ochraně osobních údajů:

Oznamovací povinnost porušení ochrany osobních údajů:

Porušení osobních údajů podle GDPR znamená porušení bezpečnosti, která vede k náhodnému či protiprávnímu zničení, ztrátě, změně, neoprávněnému sdělení osobních údajů, které se přenášejí, uchovávají nebo jinak zpracovávají, nebo neoprávněný přístup k nim. Tento incident je třeba nahlásit do 72 hodin od zjištění úřadu na ochranu osobních údajů ČR.

Je možnost vyhnout se informování dotčených jednotlivců zavedením vhodných bezpečnostních opatření.

Odpovědná osoba

V případě, že organizace nemá určenou odpovědnou osobu, má povinnost informovat Úřad pro ochranu osobních údajů ČR o systémech obsahující osobní údaje (např. newsletter).

Organizace si mohou zajistit odpovědnou osobu i prostřednictvím právnické osoby. Tím se organizace částečně vyhne byrokracií.

Odpovědnou osobu musí mít následující instituce:

• Orgány veřejné moci nebo veřejnoprávní subjekty za předpokladu, že provádějí zpracovávání osobních údajů.
• Firmy, jejichž hlavní činností jsou zpracovatelské operace, vyžadující pravidelné a systematické sledování dotčených osob ve velkém rozsahu.
• Firmy, zpracovávající zvláštní kategorie údajů jako biometrické údaje, údaje o původu, náboženství, orientaci apod., Ve velkém rozsahu nebo zpracovává osobní údaje týkající se uznání viny za trestné činy a přestupky.

Zvýšení pokut

Maximální výše pokuty bude 20 milionů eur, případně 4% celosvětového firemního obratu z předchozího roku, podle toho, která pokuta je vyšší. Kromě finanční pokuty může být nařízeno i výmaz osobních údajů, zákaz zpracování, oznámení porušení ochrany osobních údajů dotčené osobě nebo pozastavení toku dat příjemci ve třetí zemi.

 
Přísnější požadavky na udělení souhlasu při zpracování osobních údajů.

Souhlas musí být poskytnut jasným projevem vůle, s jednoznačným vyjádřením souhlasu dotčené osoby se zpracováním osobních údajů. Tento souhlas je nutné vědět prokázat v případě potřeby.

 
Uživatel má právo na vymazání (právo být zapomenut)

V případě, že uživatel požádá o vymazání svých údajů, musí poskytovatel posoudit, zda je jeho požadavek vhodný (např. pokud byly získány nezákonně, údaje se nepoužívají na správný účel, nebyl poskytnut rodičovský souhlas). Pokud je požadavek vhodný má poskytovatel měsíc na vymazání údajů (ve složitých případech 3 měsíce). Kromě toho musí poskytovatel informovat i jiné zpracovatele, kteří tyto údaje zpracovávají. V případě pokud by se jednalo o velmi finančně a technicky náročný proces, nemusí se tomuto požadavku vyhovět.

 
Soukromí jako standard

Ochrana soukromí musí být komplexně zvažována už při návrhu nových projektů. Provozovatel musí určit vhodná technická a organizační opatření pro každou formu zpracování. Všechny nové projekty z hlediska IT by měly být šifrované, měli by se vytvářet pravidelné zálohy a hlavně by se mělo předem určit, které informace jsou nezbytné a které ne.

 
Přenositelnost údajů

Uživatel bude moci požádat o přenos dat od svého původního provozovatele k novému. Původní provozovatel bude muset jeho žádosti vyhovět a přenést údaje v co nejkratší době (maximálně 1 měsíc) a bezplatně (jedná se například o přesun emailů od jednoho provozovatele k druhému). Žádost ale musí být přiměřená a opodstatněná. Transfer musí být samozřejmě zajištěn, jinak hrozí únik dat, incident a pokuta.

 
Nové požadavky pro smlouvu se zprostředkovatelem

Pro zprostředkovatele (např. účetní, právníci) přibude nová povinnost přepracovat smlouvy, tak aby zahrnovaly:

• že jsou implementovány přiměřená bezpečnostní opatření na ochranu osobních údajů
• že v případě subdodávek zůstává zprostředkovatel odpovědný za ochranu údajů
• závazek, že v případě ukončení spolupráce všechny osobní údaje vymaže nebo vrátí uživateli
• závazek, že poskytne provozovateli veškeré informace o plnění povinností GDPR a umožní provedení případného auditu.

Je doporučeno, aby zprostředkovatelé nasadili šifrování, antivirovou ochranu a aby používali zabezpečenou komunikaci.

 
Pravidlo „one-stop-shop“

Pravidlo, které se týká poskytovatelů, kteří fungují ve více státech. GDPR určuje, kdo řeší dozor nad danou společností - vedoucí dozorčí orgány a vedoucí orgány. Vedoucí dohlížitel v Česku je Úřad pro ochranu osobních údajů ČR.

 
Mezinárodní přenosy dat

GDPR zásadně nemění byrokracii, která je spojena s přenosem osobních údajů mimo území Evropské unie. Podle cílové země kam osobní údaje putují bude nutné podepisovat různé vícestránkový smlouvy a dohody.

Následující článek: 

"Jaké jsou možnosti společností splnit požadavky GDPR?"

ZDROJE:

www.eset.sk

Nařízení Evropského parlamentu a rady (EÚ) 2016/679