Základní informace
Nařízení (EU) 2016/679 (GDPR) představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji.
V souladu s tím dále obecné nařízení rozvíjí a posiluje práva lidí dotčených zpracováním, a to v obou složkách: mít (získávat) informace o tom, které jejich údaje jsou zpracovávány a proč, a domáhat se dodržování pravidel, včetně nápravy stavu. GDPR klade systematicky důraz na vymahatelnost práv lidí a povinností správců (odpovědných za zpracování). Obsahuje proto propracovanější a náročnější pravidla pro zvláštní kategorie údajů a zpracování a současně vymáhá od správců a zpracovatelů výrazně aktivnější přístup, zejména se jedná o to, že před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.
Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů. Podrobněji jsou stanoveny povinnosti při zabezpečení zpracování a nově je zavedena povinnost ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a občanům, jichž se porušení zabezpečení týká.
Obecné nařízení výslovně upravuje nezávislost, obecné podmínky pro členy, úkoly a pravomoci dozorových úřadů v členských státech Evropské unie, EHP i Švýcarska a vzájemnou spolupráci těchto dozorových úřadů. Jednotný je také přístup k sankcím.
DPO – Data Protection Officer
Definice role Data Protection Officer
Pověřenec pro ochranu osobních údajů – Data Protection Officer (DPO) je výkonná role v bezpečnostní struktuře organizace vyžadovaná regulací General Data Protection Regulation (GDPR). DPO – Data Protection Officer je odpovědný za strategii ochrany osobních údajů a implementaci opatření k zajištění souladu s požadavky GDPR.
Odpovědnosti a požadavky kladené na DPO
V okamžiku nabytí účinnosti regulace GDPR, tedy 28. 5. 2018 se role DPO stane povinnou rolí podle článku 37 pro všechny organizace, které shromažďují, nebo zpracovávají osobní údaje občanů Evropské unie. Pověřenci pro ochranu osobních údajů budou odpovědni pro proškolení společností a jejích zaměstnanců stran požadavků na shodu s požadavky GDPR, proškolení personálu v oblasti zpracování dat a v oblasti výkonu bezpečnostních kontrolních auditů. Role DPO rovněž zastává roli kontaktního bodu mezi organizací a dohledovými orgány dohlížejícími na dodržování regulace GDPR.
Jak je uvedeno v článku 30, povinnosti pověřence pro ochranu osobních údajů zahrnují, ale nejsou na ně omezeny, následující povinnosti:
- Proškolení organizace a jejích zaměstnanců stran důležitých požadavků na soulad s regulací
- Proškolení zaměstnanců organizace zpracovávajících osobní data
- Provádění auditů k ověření plnění požadavků regulace a náprava případně zjištěných nedostatků
- Kontaktní bod mezi danou organizací a kontrolními orgány dohlížejícími na plnění požadavků GDPR
- Sledování míry naplnění jednotlivých opatření v souladu s normou a poradenství uvnitř organizace směřující k udržení ochranných opatření
- Vedení úplných záznamů o všech činnostech zpracovávání osobních dat včetně účelu všech činností prováděných během zpracování osobních údajů. Tyto záznamy musí být schopen na vyžádání poskytnout kontrolnímu orgánu
- Komunikace se subjekty osobních údajů za účelem poskytnutí informace, jak je s jejich osobními údaji nakládáno včetně práva na výmaz osobních údajů a poskytnutí údajů, jaká opatření organizace přijala k ochraně osobních údajů
552 350 600
