Nová evropská úprava ochrany osobních údajů: soulad s nařízením EU

Obecné nařízení o ochraně osobních údajů (GDPR) nabude účinnosti 25. května 2018 a bude mít celosvětový dopad na subjekty působící nejen v rámci Evropské unie. GDPR klade důraz na odpovědnost a správu osobních údajů. Dotčené osoby budou povinny zavést rozsáhlé kontrolní mechanismy k zajištění souladu s GDPR. Zásada odpovědnosti výslovně ukládá povinným subjektům prokázat soulad s GDPR. Porušení povinností může vést k uložení pokuty až do ve výše 20 milionů EUR nebo 4% celkového celosvětového ročního obratu. Aby do května 2018 byl zajištěn soulad s GDPR, doporučujeme začít včas s přípravou, a to zejména provedením následujících kroků:

1. Informujte se
Zjistěte si podrobné informace o nových požadavcích a vyhodnoťte dosavadní zpracování osobních údajů.

2. Identifikujte zpracování osobních údajů
Určete, v jakých oblastech dochází ke zpracování osobních údajů, typicky půjde o agendu lidských zdrojů (včetně agendy uchazečů o zaměstnání), řízení vztahů se zákazníky a marketing (oběžníky, věrnostní karty, monitoring kamerovými systémy atd.).

3. Vyhodnoťte zákonnost zpracování
Soulad se zásadami ochrany osobních údajů (jako je zásada účelového omezení, minimalizace údajů, integrity a důvěrnosti atd.), je nezbytné hodnotit u každé činnosti související se zpracováním údajů zvlášť. Povinný subjekt musí dále zajistit právní důvod každého zpracování (souhlas nebo zákonný důvod). Jestliže je zpracování založeno na souhlasu, je nutné přezkoumat, jak byl souhlas získán, zda subjekt osobních údajů dostal potřebné informace a jakým způsobem lze toto doložit.

4. Vyhodnoťte interní způsob zpracování
Dále přezkoumejte interní procesy zpracování údajů, jakož i IT-systémy. Následně bude nezbytné přijmout organizační a technická opatření k zajištění ochrany osobních údajů a vymezit odpovědnosti. Dozorové orgány očekávají, že hlášení týkající se ochrany osobních údajů budou směřovat až k vrcholnému managementu. Za účelem dosažení ochrany a zabezpečení osobních údajů po technické stránce bude nezbytné přijmout odborná řešení v oblasti IT.

5. Zkontrolujte vnitřní předpisy a prohlášení
Poté co vyhodnotíte interní způsob zpracování osobních údajů, bude zapotřebí, abyste organizační a technická opatření zakotvili do svých vnitřních předpisů. V oblasti lidských zdrojů by měly vnitřními předpisy zvlášť upravovat zpracování údajů zaměstnanců a zákazníků, dále by měly upravovat specifická zpracování údajů vyplývajících např. z monitoringu kamerovými systémy. Vnitřní předpisy musí rovněž ošetřovat postup v případě porušení zabezpečení ochrany osobních údajů nebo jejich přenosu. Také bude zapotřebí navrhnout nebo aktualizovat prohlášení o ochraně osobních údajů, ze kterého bude patrné, jak budete nakládat s osobními údaji osob, které s Vámi vstoupí do styku.

6. Dokumentace
Ohledně některých způsobů zpracování osobních údajů musí být vedena povinná dokumentace, nicméně doporučujeme vést dokumentaci u všech činností souvisejících se zpracováním údajů, aby byl zajištěn soulad se zásadou transparentnosti.

7. DPO
Některé subjekty budou muset jmenovat pověřence pro ochranu údajů (DPO). Zvažte, zda tato povinnost nedopadá i na Vás.

8. Rozšiřte povědomí a vzdělávejte kolegy
Zaměstnanci, kteří mají přístup k osobním údajům, musí být proškoleni a seznámeni s novými požadavky GDPR.

Mějte na paměti, že kontrola a zabezpečování ochrany osobních údajů jsou stálé procesy, které vyžadují pozornost po celou dobu zpracování osobních údajů.

Záměrem tohoto shrnutí je poskytnout obecný přehled o nezbytnosti provedení auditu ochrany osobních údajů. Specifika Vaší činnosti, jakož i předpisy států, ve kterých působíte, mohou nicméně vyžadovat hlubší analýzu. V případě potřeby individuálního poradenství nás, prosím, kontaktujte.