25. květen 2018 bude datem vskutku revolučním. Vejde totiž v účinnost Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation). Nařízení GDPR Evropské unie bude mít dopad na všechny subjekty zpracovávající osobní údaje občanů EU. GDPR přináší řadu povinností zpracovatelům a správcům dat a dotkne se jak soukromého, tak veřejného sektoru. Je nejvyšší čas se na GDPR připravit.
Podcenit přípravu na tuto unijní legislativní změnu se vám totiž může značně prodražit. Za porušení nařízení hrozí astronomické pokuty. Sankce za porušení GDPR se může vyšplhat až do výše 20 milionů eur nebo hrozí pokuta ve výši 4 % z celkového ročního obratu společnosti.
Dříve než si přiblížíme povinnosti plynoucí z GDPR, je třeba si vyjasnit pojem osobní údaje. Jde o takové údaje, které se vztahují k identifikované či identifikovatelné fyzické osobě (a to včetně podnikajících FO). Osobní údaje můžeme rozdělit na obecné osobní údaje a citlivé osobní údaje.
Mezi obecné osobní údaje řadíme jméno, pohlaví, osobní stav, věk a datum narození, fotografický záznam a IP adresu. U podnikajících fyzických osob se za obecné osobní údaje považují ještě organizační údaje (e-mailová adresa, telefonní číslo a identifikační údaje vydaná státem).
Zvláštní pozornost je podle GDPR nezbytné věnovat bezpečnosti citlivých osobních údajů, jejichž zpracování podléhá přísnějšímu režimu. Za citlivé osobní údaje jsou považovány údaje o rasovém či etnickém původu, zdravotním stavu, sexuální orientaci, členství v odborech, politických názorech, náboženském a filozofickém vyznání či o trestních deliktech a pravomocném odsouzení. Nově jsou za citlivé údaje považovány i genetické, biometrické údaje a osobní údaje dětí.
a některé údaje se GDPR nevztahuje. Jedná se o anonymizované údaje, údaje zemřelých osob a údaje zpracovávané čistě pro osobní potřebu, která nebudou s nikým sdílena.
Podle GDPR jsou správci a zpracovatelé údajů povinni zavést technická, organizační a procesní opatření, kterými budou schopni prokázat svůj soulad s principy GDPR. Jedná se o tzv. princip zodpovědnosti. Co tedy máte jako správce či zpracovatel dat zajistit? Provést implementaci záměrné a nezbytné ochrany dat, zavést pseudonymizaci osobních údajů, vést záznamy o činnostech zpracování údajů, před zpracováním osobních údajů provést konzultaci s dozorovým orgánem, vypracovat tzv. DPIA (Data Protection Impact Assessment) – posouzení vlivu na ochranu osobních údajů. V některých případech je nutné jmenování DPO (Data Protection Officer) neboli pověřence pro ochranu osobních údajů.
Rozsah požadovaných úkonů a způsob jejich bezchybného provedení vyžadují pomoc odborníků. Ve společnosti Calyx máme tým fundovaných pracovníků, kteří vás na příchod GDPR pečlivě připraví.