GDPR ochrana osobních údajů 25.05.2018 co nás čeká s GDPR – nejčastější dotazy

24.11.2017, Zdroj: Asociace malých a středních podniků a živnostníků ČR

Tak tady máme další novinku platnost od 25.05.2018, je velmi náročná na implementaci ( zavádění v platnost) proto již předem dáváme na vědomí. 

Co je GDPR? Nejčastější dotazy     http://www.gdprbezobav.cz/

Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (odtud zkratka „GDPR“), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018.

GDPR jako obecné nařízení EU má především zkvalitnit ochranu osobních údajů občanů. Představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se bude týkat nejen všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

 

Níže naleznete odpovědi na nejčastější otázky týkající se GDPR:

Kdo všechno spadá pod GDPR:

GDPR se vztahuje na všechny fyzické nebo právnické osoby, orgány veřejné moci, agentury nebo jiné subjekty, které shromažďují nebo zpracovávají osobní údaje. Velikost subjektu zde nehraje žádnou roli.

 

Bude se GDPR řídit i živnostník, který nemá zaměstnance?

Pokud živnostník bude shromažďovat nebo zpracovávat osobní údaje, bude se i jeho týkat GDPR. Živnostník může zpracovávat osobní údaje svých klientů nebo dodavatelů.

 

Bude se GDPR řídit e-shop, který má 2 zaměstnance, ale zpracovává údaje stovek zákazníků?

Ano, i e-shop s dvěma zaměstnanci se bude řídit GDPR. Ochrana osobních údajů se týká nejen zaměstnanců, ale i zákazníků, a to bez ohledu na jejich počet.

 

Musím si kvůli tomu kupovat speciální SW nebo HW?

Technická opatřená by měla být přijímána s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Lze proto říci, že velká část menších podniků nebude muset pořizovat speciální SW a HW, pokud odpovídají běžným standardům zabezpečení. Užívaný software by měl ideálně pocházet od spolehlivého dodavatele, který garantuje soulad s GDPR.

 

 

Dopadne GDPR i na kontakty, které jsme získali před zahájením platnosti GDPR? Potřebujeme, aby zákazníci poskytli znovu svůj souhlas, aby tento souhlas splňoval nové podmínky?

Na tyto kontakty se GDPR vztahuje. Starší souhlas bude vyhovující za předpokladu, že způsob jeho udělení bude v souladu s GDPR. Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých údajů a tento souhlas byl udělen svobodně a byl konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Lze předpokládat, že v řadě případů tato podmínka splněna nebude, zejména tehdy, kdy byl souhlas součástí související smluvní dokumentace nebo byl podmínkou pro čerpání služeb.

 

Je právo na výmaz absolutním právem? Pokud zákazník, kterému mám doručit objednávku, požádá o výmaz, tak to musím udělat? Jaké jsou následky výmazu?

Právo na výmaz není absolutním právem. Může se uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dále k výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání, např. zákon o archivaci obsahuje povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.

Níže naleznete další časté dotazy týkající se GDPR, tj. obecného nařízení o ochraně osobních údajů, které bude platit od 25. 5. 2018.

Bere se jako osobní údaj i evidence o docházce zaměstnance?

Zaměstnanec je fyzická osoba, a pokud lze záznam o docházce jednoznačně spojit s identifikátorem zaměstnance, pak se jedná o osobní údaj.

Budou muset personální agentury jmenovat pověřence?

Personální agentury zpracovávají velké množství osobních údajů, a proto budou muset jmenovat DPO, neboli pověřence pro ochranu osobních údajů.

Kde najdu, co to je „rozsáhlé zpracování“? Je vydefinováno množství dat?

Tyto termíny nejsou v nařízení jasně definovány, dle výkladových vodítek WP 29 je rozsáhlé zpracování definováno pomocí několika faktorů: počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah. Jako příklad rozsáhlého zpracování lze uvést zpracovávání údajů o pacientech v rámci běžné činnosti nemocnice (zpracování údajů o pacientech jednotlivým lékařem se však za rozsáhlé nepovažuje). Rozsáhlým zpracováním bude i zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.

Jakou roli bude zastávat Úřad na ochranu osobních údajů? Budu mít povinnost registrovat se u Úřadu?

Povinnost registrace (oznámení zpracování osobních údajů) s účinností GDPR odpadá. GDPR Úřad zachovává a upravuje jej jako nezávislý dozorový úřad.

Měl by být odepřen přístup na web návštěvníkovi, který neodsouhlasil sběr osobních údajů?

Subjekt údajů musí udělit jednoznačný a ničím nepodmíněný souhlas. Pokud se ke zpracování osobních údajů takový souhlas potřebuje a subjekt tento souhlas neudělí, nemůže to být důvodem k odmítnutí poskytnout službu, pokud to samotná služba nevyžaduje. Konkrétní příklad u e-shopu: pokud poskytnu jejímu provozovateli osobní údaje nezbytné k zakoupení výrobku, tak neudělení souhlasu k zasílání marketingových mailů nemůže být důvodem odmítnutí samotného zakoupení produktu.

Pokud správu GDPR bude provádět externí firma, kdo bude odpovědný při úniku citlivých dat? Dá se odpovědnost převést na dodavatelskou firmu?

Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele (externí organizaci, která data zpracovává). Obě entity jsou tedy odpovědné za jejich ochranu, jelikož tato data zpracovávají – i v případě, že správce pouze data posbírá a pošle dodavateli.