Takže v tom jedeme všichni společně.
Pokud vás nezajímá legislativní background největší plánované změny v zákonech o ochraně osobních údajů, skočte na další část článku.
Legislativní pozadí GDPR
General Data Protection Regulation neboli Obecné nařízení o ochraně osobních údajů.
27. dubna 2016 bylo schváleno.
…Zatím se ale nic moc nezměnilo, tak proč se o to starat?
25. května 2018 nabude účinnosti.
…To je ale daleko, do té doby nemusím nic řešit.
Uvažujete stejně? Nenechte se vzdáleným datem a zdánlivou nečinností zmást. Čtěte dál, co tyto termíny v praxi znamenají.
Chronickým odkladačům hraje do karet to, že v České republice zatím není finální podoba zákona ani prováděcích předpisů. Podívejme se na konkrétní existující a vznikající legislativu podrobněji.
- Nařízení EU číslo 2016/679 z 27. dubna 2016 je vymahatelné i bez zapracování do českých zákonů. Účinnosti nabývá 25. května 2018.
- Směrnice EU číslo 2016/680 ze stejného dne doplňuje první Nařízení a je nutné ji zapracovat ve formě novely Zákona č. 101/2000 Sb., o ochraně osobních údajů.
Na novele zákona momentálně údajně pracují zástupci ministerstev, Úřadu pro ochranu osobních údajů, Svazu průmyslu a obchodu a dalších organizací.
Finální podobu schválí Poslanecká sněmovna až po podzimních parlamentních volbách. První kroky ohledně GDPR byste ale neměli odsouvat až na podzim. Čeká vás totiž zaškolování zaměstnanců, implementace nových opatření a kontrola dodržování všech pravidel v novém znění.
Rozšíření definice osobních údajů
Za osobní údaj se nově považuje taková informace, na základě které je fyzickou osobu ve spojení s jiným údajem možné identifikovat. Osobní údaj tak může být:
- jméno nebo příjmení,
- rodné číslo,
- záznam identifikující konkrétní počítač,
- telefonní číslo,
- fotografie obličeje,
- seznam objednávek.
Vždy ale záleží na konkrétním případu. Například ve firmě, kde pracuje 8 žen a jediný muž, je v případě mužského zaměstnance osobní údaj i pohlaví.
Ruku v ruce s definováním osobních údajů jde i rozšíření termínu zpracování osobních údajů. Za to se totiž nově dá považovat jakákoliv operace s osobními údaji, tedy jejich:
- shromažďování,
- zaznamenávání,
- uspořádávání,
- strukturování,
- ukládání,
- vyhledávání
- a samozřejmě i použití.
Tedy i pouhé nahlédnutí na detail klienta v CRM nebo prohlédnutí profilu na Facebooku.
Co to bude znamenat pro uživatele RAYNETu? K tomu se dostaneme v dalším článku, nenecháme vás ale v ničem tápat, bez obav!
Pověřenec pro ochranu osobních údajů
Pokud vaše firma nebo jiná instituce provádí pravidelné a systematické monitorování osobních údajů, musíte jmenovat některého zaměstnance na pozici Pověřence pro ochranu osobních údajů (DPO).
Mezi jeho povinnosti patří například:
- dohled nad správností zpracování osobních údajů,
- příjem a prověřování stížností zaměstnanců i zákazníků, jejichž údaje firma zpracovává,
- komunikace s Úřadem pro ochranu osobních údajů.
Funkci DPO ale nemůžete přiřadit jen tak někomu. Nařízení vyžaduje, aby Pověřenec:
- nepracoval s osobními údaji v dané organizaci,
- měl právní a IT základ,
- znal dobře procesy dané organizace.
Především první bod tak pro mnoho firem může znamenat nutnost přijmout novou pracovní sílu. Například váš firemní IT specialista sice splňuje třetí bod, právní základ si dostuduje, ale odporuje prvnímu bodu. Jako Pověřenec proto pracovat nemůže.
Na místo DPO můžete najmout interního zaměstnance nebo jeho roli může zaštítit externí firma. Momentálně se cena za takového externistu pohybuje kolem 5 tisíc Kč za měsíc.
Vyvracíme mýty o GDPR
1. My jsme v klidu, žádné osobní údaje nezpracováváme
Ačkoliv neuchováváte žádná data o svých klientech, máte s nejvyšší pravděpodobností zaměstnance. A i oni jsou subjekty s osobními údaji. Stačí pouhé evidování pracovních smluv a do GDPR povinností už spadáte.
2. GDPR se dotkne všech organizací stejně
Mrknout na nabídku trhu, sáhnout po softwaru s ideálním poměrem ceny a výkonu a mít GDPR z krku. Takové řešení ale není možné. Každá firma totiž zpracovává rozdílné údaje a nasazení univerzálního řešení by tak nemuselo pokrýt všechny vaše potřeby.
První krok, který vám ušetří peníze i práci s implementací nových povinností, je tak provedení základní analýzy. Díky ní zmapujete, jak se vaší firmy GDPR dotkne a jaká opatření budete muset přijmout.
3. Všichni budou potřebovat DPO
Zatím to tak skutečně vypadá. Momentální výklad je ale velice vágní a bude vyžadovat další upřesnění prováděcím předpisem.
Ze současného znění budou Pověřence určitě potřebovat:
- orgány veřejné moci,
- zpracovatelé zvlášť citlivých údajů (o zdraví, politických názorech, trestných činech, členství v odborech, fotografií apod.)
- a společnosti a instituce, které provádí rozsáhlé, pravidelné a systematické monitorování subjektů osobních údajů.
Počkáme si proto ještě na doladění od bruselských zákonodárců.
V dalším článku se budeme věnovat zákonnosti a bezpečnosti zpracování osobních údajů, právům subjektů údajů a dopadům na online business.