Klíčové požadavky GDPR

15.05.2017

Pojďme si představit klíčové požadavky které jsou aplikovány v rámci GDPR.


Jak již bylo uvedeno v našem předchozím článku "Jaké hrozí sankce za neoprávněné nakládání s osobními údaji?", společnosti mohou být pokutovány až do výše 20 milionů EUR nebo 4% z jejich ročních příjmů (podle toho, co je vyšší), pokud nedodrží obecné nařízení o ochraně osobních údajů. Všechny organizace se musí seznámit s novými požadavky GDPR a právy subjektů údajů jakožto prvním krokem k předcházení pokutám a pokutám. Podívejme se tedy na klíčové požadavky které vyžaduje nařízení GDPR.

Klíčové požadavky GDPR

1. Právo na přístup

Jde o právo subjektů údajů (klientů) získat od správce (společnosti) informace o tom, zda o nich jsou nebo byly, kde a za jakým účelem  zpracovávány osobní údaje. Organizace musí zdarma poskytnout subjektu údajů kopii svých osobních údajů v elektronické podobě, aby byl o jejich zpracování informován a mohl si ověřit jejich zákonnost. 

Týká se to rovněž práva na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.

2. Porušení zabezpečení

  • Jakmile dojde k porušení zabezpečení osobních údajů, musí to společnost ohlásit do 72 hodin příslušnému dozorovému úřadu (ÚOOÚ). Může se například jednat o ztrátu kontroly společnosti nad osobními údaji klientů, krádež nebo zneužití identity, neoprávněné zrušení pseudonymizace, ztráta důvěrnosti osobních údajů chráněných služebním tajemstvím, apod.
  • Solečnost by měla porušení zabezpečení osobních údajů oznámit klientovi  bez zbytečného prodlení.

3. Právo na výmaz ("právo být zapomenut")

Klient má právo na to, aby správce vymazal osobní údaje klienta, a společnost má povinnost osobní údaje klienta bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů: 

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány 
  • klient odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování 
  • klient vznese námitky proti zpracování  
  • osobní údaje byly zpracovány protiprávně

4.  Právo na přenositelnost údajů

Klienti mají právo požadovat, aby společnost předala jejich osobní údaje jiné společnosti, aniž by mu v tom původní společnost bránila.

5. Ochrana osobních údajů by Design

Společnost zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob. Společnosti tedy mohou uchovávat a zpracovávat data nezbytná k plnění svých povinností, ovšem v omezené míře udělují přístup k osobním údajům pouze těm osobám, které je potřebují zpracovat.

6. Souhlas

  • GDPR vyžaduje "prohlášení nebo jasnou souhlasnou akci", která signalizuje souhlas s přenosem osobních údajů.
  • Vyžaduje rodičovský souhlas se zpracováním osobních údajů dětí (ve věku 13-16 let v závislosti na členském státě)

7. Pověřenec pro Ochranu Osobních Údajů

Společnost (správce i zpracovatel) jmenují pověřence pro ochranu osobních údajů v každém případě, když: 

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí

  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů 

  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů

Pověřenec pro ochranu osobních údajů vykonává tyto úkoly: 

  • poskytuje informace a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle nařízení GDPR
  • monitoruje soulad s tímto nařízením
  • poskytuje poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování 
  • spolupráce s dozorovým úřadem (ÚOOÚ)
  • působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů

Jednoduše řečeno, úkolem Pověřence pro Ochranu Osobních Údajů je sdělovat společnostem doporučení CO vyžaduje GDPR, ovšem je již na společnostech aby zjistily JAK tato doporučení uskutečnit.