Obecné nařízení - GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679, kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.
Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.
Obecné nařízení o ochraně osobních údajů, na jehož přípravě se Česká republika podílela, má celoevropskou působnost a v ČR i v ostatních členských státech EU bude účinné od května 2018.
Co přináší Obecné nařízení (GDPR)?
Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.
Nové požadavky na zabezpečení
GDPR nařízení klade významné nároky na smluvní a technické zajištění ochrany a zpracování osobních údajů.
Vyžaduje změny všech smluvních ujednání obsahujících osobní údaje. Veškerá místa výskytu osobních údajů bude nutné doplnit o nové funkcionality a procesy pro zajištění bezpečnosti osobních údajů při jejich zpracování.
Organizace se tak nevyhnou zásadním změnám architektury informačních systémů. V mnohých případech bude nutné stávající informační systémy nahradit novými. Požadavky na zajištění bezpečnosti osobních dat vyžadují nové, zatím běžně nepoužívané postupy zajištění přístupu - kryptování dat, logování přístupů, tvar hesel a pod.
Nařízení GDPR vyžaduje proaktivní a preventivní přístup k ochraně dat a nikoli reaktivní a nápravný.
Mění postavení subjektu údajů
GDPR nařízení mění pravidla předávání osobních údajů třetím stranám a zásadně zvýhodňuje postavení subjektu osobních údajů.
Nově je při předávání osobních dat mezi správcem a zpracovatelem vyžadováno uzavření smluvního ujednání.
Je vyžadována specifikace účelu zpracování, pro který budou osobní údaje shromažďovány, využívány a uchovávány, a to srozumitelným, svobodným a odvolatelným způsobem vůči subjektu údajů a vždy před zahájením jejich zpracování.
Subjekt osobních údajů má právo přístupu k údajům a právo na jejich přenositelnost. Také má právo vznášet námitky a má právo na omezení zpracování dat. Námitka proti přímému marketingu je přitom absolutní.
Zavádí nové sankce
Zavádí zejména povinnost evidence všech prováděných zpracování, bezpečnostních událostí a hlášení incidentů.
Sankce za nedodržení nařízení mohou být dle charakteru a závažnosti incidentu až 4% z celkového obratu společnosti nebo až 20 milionů EUR.
Sankce budou uplatňovány orgánem dohledu zejména v případě nehlášení incidentů a budou na principu rovnosti udělovány dle rozhodovací praxe v rámci EU jednotně.
Vytváří nové povinnosti a ruší povinnost registrace u ÚOOÚ
Vedle povinnosti evidence žádostí subjektů osobních údajů, povinnosti evidence zpracování a hlášení incidentů, zavádí nařízení GDPR také povinnost řídit rizika, zajišťovat jejich aktualizaci a povinnost zavést opatření k prokázání souladu s GDPR.
Nařízení nově vytváří pro vybrané organizace povinnost jmenovat Pověřence pro ochranu osobních údajů - DPO (Data Protection Officer). Některé organizace si vystačí s externím DPO, ale větší organizace musí vytvořit nové pracovní pozice pro DPO a jeho tým.
Přípravu na zavedení GDPR nařízení je proto dobré neodkládat.
___________
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)
Přiložené soubory