Začínáme
Konečně jste se odvážili a vstupujete do těch lehce nepřehledných a možná mírně nepříjemných vod GDPR? Společně to určitě zvládneme.
Koho se GDPR týká
GDPR se týká ochrany osobních údajů fyzických osob (subjektů údajů). Netýká se informací o korporacích (např. databáze korporací).

Nezáleží na tom, zda jste v pozici e-shopu, marketingové agentury, obce, školy, lékaře nebo třeba překladatele na volné noze. Pokud při vaší činnosti dochází ke zpracování osobních údajů (což je u většiny podnikatelských činností), pak bude potřeba nastavit a respektovat nová pravidla.

Mám zaměstnance? Mám databázi obchodních kontaktů? Prodávám výrobky a služby fyzickým osobám? Provozuji webovou stránku, která využívá osobní údaje návštěvníků? Pokud jste si odpověděli alespoň na jednu otázku kladně, jste tady správně.

GDPR hovoří o správci a zpracovateli, přičemž zdůrazňuje jejich odpovědnost za stav zpracování osobních údajů. V jaké jsem vlastně pozici? 

Správce
Subjekt, který stanoví účel a prostředky zpracování. Jedná se například o společnost, která zpracovává osobní údaje svých zaměstnanců a/nebo buduje databázi e-mailů za účelem šíření obchodního sdělení.

Zpracovatel
Zpracovává osobní údaje na základě pověření správce. Typicky marketingová agentura, která má přístup k databázím zákazníků svých klientů.

Marketingová agentura může být v pozici správce (zpracovává osobní údaje svých vlastních klientů a zaměstnanců) a zpracovatele současně (zpracovává svěřené osobní údaje na základě pověření).

GDPR se nevztahuje na zpracování osobních údajů pro soukromé účely. Takže pokud organizujete vlastní svatbu nebo oslavu narozenin, není třeba vést seznam hostů v souladu s GDPR.
Hlavní povinnosti
Technická, organizační a procesní opatření

GDPR nařizuje povinnost zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. To znamená, že bude nutné pravidla nejen dodržovat, ale také umět vše věrohodně doložit. Doporučujeme proto stran ochrany osobních údajů vést řádnou dokumentaci (tam, kde je vhodné), minimálně v následujícím rozsahu: 
zpracovatelské smlouvy,
záznamy o činnostech zpracování,
doklady ke splnění informační povinnosti,
interní směrnice pro nakládání s osobními údaji,
souhlasy.
Procesy při zpracování osobních údajů by měly být nastaveny tak, aby vám bylo umožněno důsledně dbát na dodržování práv subjektů údajů. Určitě se zamyslete nad tím, zda jsou jsou procesy u vás ve firmě nastaveny tak, aby bylo právům subjektů údajů učiněno vyhověno. Půjde minimálně o to, zda zvládnete v případě potřeby smazat všechny zpracované osobní údaje či vyřídit včas námitku.

Ve specifických případech bude nutné učinit další kroky, jako třeba:
jmenovat pověřence na ochranu osobních údajů (DPO),
zpracovat posouzení o vlivu zpracování osobních údajů.
Informační povinnost

V okamžiku získání osobních údajů vám pravděpodobně vnikne vůči subjektu údajů informační povinnost. To znamená, že subjekty údajů je potřeba informovat o tom, co se s jejich daty ve vaší organizaci děje. Subjekty je potřeba informovat transparentně, korektně, srozumitelně a je třeba dbát na jednoduché jazykové prostředky. Tímto způsobem je přitom nutné předat poměrně značné množství informací. Povinné jsou informace podle čl. 13 GDPR. Způsob, který k naplnění informační povinnosti zvolíte může být pouhé zveřejnění na webu, textace v e-mailu nebo třeba vrstvené obchodní sdělení. Je potřeba myslet na to, že splnění informační povinnosti bude jedna ze záležitostí, které je dobré umět doložit při případné kontrole ze strany ÚOOÚ.
Ohlášení porušení zabezpečení

Novinkou je povinnost ohlášení případů porušení zabezpečení, a to bezodkladně, maximálně do 72 hodin od okamžiku, kdy se správce o porušení dozvěděl. Jeví se proto jako potřebné nastavení scénáře při možném narušení bezpečnosti údajů. Tato povinnost se ovšem uplatní pouze tehdy, pokud správce vyhodnotí, že případ porušení zabezpečení znamená riziko pro práva a svobody fyzických osob.
Zásady pro zpracování osobních údajů

GDPR je postaveno na principu odpovědnosti správce (zpracovatele), když je povinností správce být schopen dodržování těchto zásad prokázat. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování, případně též kodexy a osvědčení.

Zásada zákonnosti
Zpracovávat osobní údaje lze pouze na základě zákonem stanoveného právního titulu, nesmí být v rozporu se zákonem.

Zásada korektnost, transparentnosti
Správce musí zpracovávat osobní údaje vůči subjektu údajů transparentně, což mj. znamená zajistit, aby osoby, o jejichž údaje se jedná byly řádně informovány.

Zásada omezení účelu
Osobní údaje mohou být shromažďovány toliko pro určité a legitimní účely a nelze je zpracovávat za jiným účelem než za jakým byly shromážděny.

Zásada minimalizace údajů
Osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány; k danému účelu je možné zpracovávat právě takové množství osobních údajů, jaké je pro dosažení účelu nezbytné.

Zásada přesnosti
Osobní údaje musí být přesné, to znamená, že je potřeba je v čase aktualizovat; je na zodpovědnosti správce, aby osobní údaje, které neodpovídají této zásadě byly

Zásada omezení uložení
Osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány.

Zásada integrity a důvěrnosti
Technické a organizační zabezpečení osobních údajů leží na bedrech správce tak, aby nebyla narušena důvěrnost a integrita zpracovávaných osobních údajů.

Princip přístupu k riziku
Správce (zpracovatel) by měl od samého počátku zvážit povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. Vyjádřením tohoto principu bude v praxi znamenat, že některé povinnosti jsou uloženy pouze tam, kde by případné porušení řádného zpracování znamenalo riziko nebo vysoké riziko pro práva a svobody osob, o jejichž data se jedná (např. posuzování vlivu zpracování na ochranu osobních údajů).
Práva subjektů údajů
 
Právo na výmaz (právo být zapomenut)
Právo na opravu
Právo na přístup k osobním údajům
Právo na omezení zpracování
Právo vznést námitku
Právo na přenositelnost údajů
Správce vyřizuje případné žádosti k zajištění naplnění jednotlivých práv bezodkladně, případně do 1 měsíce od doručení žádosti, a to bezúplatně. Ze strany správce by mělo dojít k nastavení procesů k provádění těchto práv, zejména tam, kde se očekává velké množství žádostí.
Kontrola ÚOOÚ
Orgánem dozoru nad zpracováváním osobních údajů v České republice je Úřad na ochranu osobních údajů (ÚOOÚ).

Nejčastějším důvodem pro zahájení správního řízení v ČR je nedodržování pravidel ohledně zasílání obchodních sdělení. V této oblasti také byly uloženy nejvyšší pokuty.

Stran zpracování osobních údajů bude vhodné úřadu předložit následující (pokud je to vhodné):
procesy zveřejňování informací
vyhotovení vnitřních předpisů
zpracovatelská smlouva
případné kodexy nebo osvědčení
Sankce
GDPR upravuje nepříznivé následky, které hrozí správci i zpracovateli. Jedná se o správní pokuty a dále je ponechána možnost členským státům, aby stanovili další sankce.

Správní pokuty mohou být uloženy až do výše 20 mil. EUR nebo do výše 4% celosvětového ročního obratu, podle toho, která hodnota bude vyšší. Pokuta může být skutečně vysoká, takže správci i zpracovatelé by měli zvážit, kterými činnostmi zpracovávají osobní údaje a tyto provádět pouze v souladu s GDPR.

Nad rámec sankcí (veřejnoprávní odpovědnost) je potřeba zmínit také odpovědnost za způsobenou újmu, kterou bude potřeba rovněž uhradit, pokud bude protiprávním jednáním způsobena.
© 2018 ECOMAIL.CZ, s.r.o.