Co nového obsahuje GDPR?

Pro menší firmy, které vedou jen evidenci smluv se svými zákazníky a evidenci zaměstnanců, nové nařízení nepřináší zas tak mnoho změn. Mezi nové povinnosti patří:

Dělat záznamy o činnostech

Nově je nutné vést záznamy o činnostech, které se s osobními údaji provádějí (např. záznam o evidenci smluv, o evidenci zaměstnanců, případně o slevovém programu pro zákazníky). Doporučujeme připravit si formulář s kolonkami a do nich zapsat informace požadované v článku 30 GDPR. Takový zápis by neměl zabrat více než 10 až 15 minut.

Ohlašovat případy porušení zabezpečení

Druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů (do 72 hodin od zjištění incidentu). Je nutné hlásit incidenty, u kterých lze předpokládat závažné důsledky. Nejde tedy o případ, kdy se z papírově vedené evidence omylem založí jeden papír do jiného šuplíku a za hodinu se najde. Pokud dojde k úniku dat, např. v bance, ve které máte uloženy peníze, a hrozilo by, že o ně můžete v důsledku tohoto incidentu přijít, bude mít banka povinnost oznámit vám to, v krajním případě i vydat veřejné oznámení.

Mít pověřence pro ochranu osobních údajů

Úřady a jiné orgány, které rozhodují o právech občanů (patří k nim i školy a nemocnice), musí jmenovat pověřence pro ochranu osobních údajů. To je osoba, která se bude této problematice věnovat a upozorňovat na případné nedostatky. Předpokládá se, že bude problematice ochrany osobních údajů v příslušném odvětví rozumět. Pověřencem může být jak vlastní zaměstnanec, tak externista. Je tedy možné, aby jeden pověřenec vykonával tuto činnost pro více úřadů, škol nebo nemocnic. Pověřencem nemůže být nikdo z vedení organizace nebo oddělení informatiky, protože by byl ve střetu zájmů.

Žádat o konzultace s úřadem

Posouzení vlivu na ochranu osobních údajů a předchozí konzultace s Úřadem pro ochranu osobních údajů není povinností obecně platnou. Týká se jen těch, kteří chtějí provádět s osobními údaji rozsáhlé rizikové operace, např. profilování lidí prostřednictvím internetu, při kterém jsou pro marketingové účely získávány podrobné informace o jejich soukromém životě. Dále může rizikovost spočívat ve využití nových technologií používaných na velké množství údajů, např. o zdravotním stavu pacientů. Seznam těchto operací bude Úřadem pro ochranu osobních údajů zveřejněn.

Kodexy a osvědčení

Pokud v některých odvětvích, např. při podnikání, dochází ke stejným nebo velmi podobným činnostem s osobními údaji, může být vypracován kodex správného chování. Přihlášení se k takovému kodexu dokládá snahu být v souladu s obecným nařízením, není však povinné, stejně jako osvědčení o ochraně osobních údajů, o které bude možné požádat.

A co když nové nařízení poruším?

Zpravidla velkým nadnárodním společnostem mohou být za porušení stanovených povinností (při rizikových operacích prováděných ve velkém objemu dat) uděleny sankce dosahující značných částek. Vždy ale bude Úřad přistupovat k porušením povinností obecného nařízení individuálně s cílem dosáhnout nápravy a zvolit případně takovou výši sankce, která bude přiměřená, odrazující, ale v žádném případě likvidační. Obavy firem, škol nebo obcí proto nejsou na místě.