Úvod do GDPR

Již pouze necelý rok zbývá všem subjektům pracujícím s osobními údaji (státním orgánům, obchodním korporacím, ale i drobným podnikatelům) na přizpůsobení se pravidlům ochrany dat dle nového evropského nařízení - Obecného nařízení o ochraně osobních údajů (General Data Protection Regulation – zkráceně „Nařízení GDPR“). Pokud se dotčené subjekty nepřizpůsobí novým pravidlům zpracování osobních údajů obsaženým v Nařízení GDPR, mohou jim hrozit pokuty až do výše 20 000 000 EUR nebo do výše 4 % jejich ročního obratu.

Základní informace o Nařízení GDPR

Nařízení GDPR, která má nabýt účinnosti již 25. května 2018, nově upravuje například podmínky pro získání souhlasu se zpracováním osobních údajů od fyzických osob a fyzických osob podnikatelů. Souhlas se zpracováním osobních údajů musí být výslovný, jednoznačný, nepodmíněný a kdykoliv odvolatelný. Fyzické osoby budou mít napříště právo například požadovat od subjektů zpracovávajících jejich osobní údaje výpis osobních údajů, které o nich jsou vedeny, umožnění jejich transferu nebo jejich nenávratné smazání z vnitřních systémů těchto subjektů.

Zároveň je nutné připomenout, že odpovědnost za splnění požadavků Nařízení GDPR nadále ponese primárně správce osobních údajů, který musí také důsledně prokazovat soulad zpracování osobních údajů s Nařízením GDPR. V případě, že dojde k incidentu (např. k úniku osobních údajů mimo systémy správce), bude správce povinen ohlásit takový incident dozorovému úřadu a obeznámit s tímto, v některých případech, také všechny zasažené osoby, a to do 72 hodin od zjištění incidentu.

Na organizace veřejné správy či státní podniky a dále společnosti, jejichž hlavní činnost spočívá v systematickém monitorování subjektů údajů (fyzických osob) nebo v rozsáhlém zpracování zvláštních kategorií osobních údajů, se bude vztahovat další povinnost, a to jmenování pověřence pro ochranu osobních údajů (Data Protection Officer, DPO). Náplní funkce DPO bude zejména dohlížet na soulad činností těchto subjektů s Nařízením GDPR, komunikovat s Úřadem pro ochranu osobních údajů a provádět interní činnosti, jako jsou vnitřní audity nebo školení těchto organizací.

Ačkoliv Nařízení GDPR vychází z dosavadní právní úpravy ochrany osobních údajů, v praxi klade nové vysoké zejména administrativní požadavky na správce osobních údajů. Některé nejasné či v praxi složitě aplikovatelné nároky jsou postupně vykládány pracovní skupinou WP29. Svá stanoviska publikuje také Úřad pro ochranu osobních údajů. Bude se jednat o právní úpravu nanejvýš živou a lze předpokládat, že obrysy reálné implementace požadavků Nařízení GDPR na zpracování osobních údajů se budou měnit také na základě judikatury.

Nařízení GDPR -  konkrétní dopad Nařízení GDPR na některé typy subjektů:

  • Banky – v praxi budou povinny jmenovat DPO a provádět PIA podle čl. 35 Nařízení GDPR při zavádění nových produktů, národní právní úprava vs. GDPR
  • Nemocnice a jiná zdravotnická zařízení – zpracovávají zvláštní kategorie údajů – citlivé údaje, zpřísněny podmínky pro zpracování získaných osobních údajů, zejména pro jejich zabezpečení, ochranu a nakládání s nimi. Nutno nově upravit zpracování osobních údajů pro následnou péči (např. předávání údajů u pacemakerů a jejich monitorování přes počítač). Nařízení GDPR se nevztahuje jen na digitální data nutno nově upravit a zabezpečit zpracování údajů pacientů v papírových kartotékách atp.
  • Veřejná správa - úkoly veřejné moci mohou být vykonávány i osobami soukromého práva (př. veřejná hromadná doprava, dodávky vody a energie, silniční infrastruktura, veřejnoprávní vysílání). Podle doporučení Art. 29 WP mají i tyto soukromé subjekty jmenovat DPO, přestože ve smyslu č. 37 odst. 1 Nařízení GDPR takovou povinnost nemají.
  • IT oblast - technologické společnosti – správa, vývoj nových IT a mobilních aplikací. Nové požadavky Nařízení GDPR na zpracování údajů v této oblasti. Jsou zde zpracovávány často údaje dětí a mladistvých, které jsou ze strany Nařízení GDPR zvlášť chráněny.
  • Bezpečnostní systémy – zvláštní kategorie osobních údajů: biometrické údaje a genetické údaje, kamerové systémy, zvláštní zpřísněná úprava v Nařízení GDPR pro zpracování a zabezpečení těchto údajů. Důsledněji bude vyžadováno upozornění na kamerové systémy zabezpečení budov.  
  • E-commerce - poskytování služeb a zboží online E-shopy: monitoring klientů a jejich vyhledávání, mezinárodní předávání osobních údajů – Nařízením GDPR zavedena nové podmínky a pravidla. Například nutnost získat schválení pravidel/kodexu při předávání údajů mimo území EU.
  • Marketing, reklama a profilování uživatelů – automatizované profilování, problematika smluv se zpracovateli (př. prodejce – reklamní agentura), zpracovávání širokého spektra osobních údajů, problematika získání a rozsahu souhlasu subjektu údajů s těmito aktivitami.
  • Sociální média – zajištění přenositelnosti údajů a práva na informace, kontrola nad rozsahem osobních údajů, odpovědnost správce a zpracovatele v případě incidentu
  • Výzkumné a vědecké ústavy – velmi dobrá pozice podle Nařízení GDPR. Vhodné je však připravit sumarizace procesů s odkazy na výjimky podle Nařízení GDPR a nastavit kvalitní ochranu osobních údajů, pokud jsou zpracovávány
  • Hotelová a lázeňská zařízení - osobních údajů hostů, zvláštní vnitrostátní právní úprava pro cizince vs. Nařízení GDPR, lázeňské služby zpracovávaní zvláštní kategorie údajů, transfer údajů v rámci hotelových sítí, ideálně zpracovat kodex chování (čl. 40 Nařízení GDPR)
  • Vzdělávací zařízení (zájmové, školská zařízení), soukromé a státní školy – zpracovávají osobní údaje dětí (nově nutný souhlas zákonného zástupce dítěte)

GDPR tým

Advokátní kancelář Kříž a partneři vyčlenila pro své klienty právní tým specializovaný na oblast ochrany osobních údajů a související právní problematiku. Členové týmu JUDr. Veronika Křížová, LL.M.JUDr. Michal Morawski a Mgr. Tomáš Slabý se dlouhodobě připravovali na novou právní regulaci přicházející v rámci Nařízení GDPR a i nadále sledují nejnovější vývoj a výkladová stanoviska týkající se zavádění Nařízením GDPR do praxe.

Kromě široké mezinárodní spolupráce naší advokátní kanceláře v oblasti IP/IT/data protection je přidanou hodnotou tohoto specializovaného právního týmu také silné právní zázemí v souvisejících oblastech práva duševního vlastnictví, kdy za roky 2013, 2015 a 2016 Advokátní kancelář Kříž a partneři získala ocenění Právnická firma roku v kategorii duševního vlastnictví, do které daná oblast ve značné míře spadá.

Nespornou předností je i angažovanost několika pracovníků naší advokátní kanceláře v pedagogickém působení na Právnické fakultě Univerzity Kalovy v Praze a rozsáhlá další výuková a publikační činnost v České republice i zahraničí. O Nařízení GDPR přednáší členové našeho specializovaného týmu již přes rok na mezinárodních konferencích i odborných pracovištích.

Naše advokátní kancelář se široce věnuje také problematice e-commerce a právní problematice nových technologií, a to jak z pohledu práv autorských a průmyslových, tak také v oblasti ochrany osobnosti, mediálního práva, reklamy a marketingu, což nám umožňuje rychle se orientovat v potřebách klientů, z těchto oblastí v souvislosti s Nařízením GDPR.

Služby poskytované v souvislosti s Nařízením GDPR

Pro klienty v souvislosti s nařízením GDPR zajišťujeme komplexní právní poradenství. Spolupracujeme s renomovanou IT společností pro zajištění technických řešení.

Základní služby GDPR:

  • audity zpracování osobních údajů a revize všech procesů
  • řešení otázek práv subjektu údajů
  • školení pracovníků
  • příprava smluv s DPO a právní poradenství v souvislosti se zavedením této pozice
  • komplexní řešení v podobě vyhodnocení nutných změn, organizačních či technických opatření
  • příprava interních směrnic a vnitřních předpisů
  • právní poradenství při zpracovávání zvláštní kategorie osobních údajů (dříve „citlivých údajů“)
  • úpravy listin, jako jsou smluvní dokumenty, souhlasy a komunikační formuláře, smlouvy mezi správci a zpracovateli o zpracování osobních údajů
  • asistence při řešení přenosu osobních údajů do zahraničí
  • hodnocení rizikovosti zpracování, nutnosti provádění PIA
  • pravidelné audity a aktualizace postupů a interních směrnic
  • zastupování při sporech v souvislosti s GDPR (správní řízení, občanskoprávní spory)

Kontakt

V případě zájmu o další informace související s Nařízením GDPR kontaktujte naši kancelář prostřednictvím emailu: veronika.krizova@ak-kp.cz nebo telefonicky na čísle +420 224 819 340.