FIRMA A PODNIKATEL:
GDPR OCHRANA OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů, nařízení GDPR, šifrování, IT... někdo nové povinnosti ignoruje, jiný z toho nemůže spát. Fakt je, že všechny firmy se s tím budou muset “nějak” popasovat - svými silami nebo za pomoci poradců, advokátů a specialistů na IT.

Každá firma má jiný “business”, neočekávejte univerzální řešení. Kdo nabízí GDPR “pro všechny”, třeba formou balíčku, aniž by znal vaši firmu a podnikání, buď neví, co činí, nebo to ví přesně, a chce z vás udělat troubu, co v blažené nevědomosti zaplatil za něco, čemu vůbec nerozumí, a co bude úplně nepoužitelné.

Ochrana osobních údajů

Ochrana osobních údajů je moderní téma s překvapivě dlouhou historií. Avšak v době internetu a všemožného sdílení adres, fotek, poloh a souřadnic, legálního i nelegálního, nabývá ochrana osobních údajů na naléhavosti. Na firmy je kladen velký úkol - ochranu osobních údajů a soulad vlastní činnosti ve smyslu zajištění ochrany osobních údajů a zajištění ochrany práv subjektů osobních údajů s obecným nařízením na ochranu osobních údajů (GDPR) a zejména úkol prokazovat Úřadu pro ochranu osobních údajů. Subjekty osobních údajů (fyzické osoby) mají přitom nová práva - například právo na to, být informován, jaké osobní údaje forma zpracovává, proč, na jakém právním podkladě, právo na to, aby byly osobní údaje vymazány, a mnohá další. Firmy musí prokazatelně zajišťovat práva fyzických osob v oblasti osobních údajů bez ohledu na to, zda se jedná o osobní údaje zaměstnanců nebo zákazníků. Nehraje roli ani velikost firmy, ani obor podnikání. Každá firma musí od května 2018 prokázat, že je v souladu s nařízením GDPR.

Audit zpracování osobních údajů

Audit zpracování osobních údajů je dle názorů v naší advokátní kanceláři nevyhnutelným předpokladem pro splnění povinností, které každé organizaci, která zpracovává osobní údaje fyzických osob, ukládá obecné nařízení GDPR. Domníváme se, že nejprve musíte vědět, jaké osobní údaje organizace zpracovává, proč, k jakému účelu, z jakého právního důvodu, kde se tyto údaje nachází a kdo k nim má přístup, tedy, musíte udělat audit, analýzu či průzkum. Pak teprve můžete přijmout vhodná a účinná opatření ke zlepšení ochrany osobních údajů, nebo konstatovat, že vše je v nejlepším pořádku a ochranu osobních údajů fyzických osob zvládáte bez rizika úniku a škody, která by mohla být fyzické osobě únikem informací způsobena. Často se v advokátní kanceláři setkáme s tím, že majitelé firem žádají univerzální řešení, nějakou šablonu nebo krabicové řešení GDPR. My jsme přesvědčeni, že každá organizace je originál, a proto také ochrana osobních údajů v každé organizaci potřebuje originální audit.

Povinnosti organizací při zpracování osobních údajů

Obecné nařízení na ochranu osobních údajů (GDPR) především zavádí práva subjektů osobních údajů (fyzických osob). Z těchto práv pak plynou povinnosti pro firmy a organizace, které při své činnosti osobní údaje fyzických osob jakkoli zpracovávají - cokoli s nimi dělají (ukládají, třídí, kopírují, prodávají). Mezi nejvýznamnější práva patří právo na přístup (fyzická osoba má právo vědět, jaké všechny osobní údaje organizace zpracovává), které znamená povinnost organizace do 30 dnů odpovědět, pokud se na to fyzická osoba zeptá. To ovšem musíte vědět, kde a jaké osobní údaje firma o fyzických osobách uchovává - bez auditu osobních údajů to nebude lehký úkol. Dalším zajímavým právem subjektů osobních údajů je právo na výmaz - tedy právo na to, aby byly veškeré osobní údaje fyzické osoby vymazány, pokud už není důvod, aby je firma uchovávala. Splnění toto povinnosti ukládané organizacím nařízením GDPR ovšem vyžaduje, aby se vědělo, jaké osobní údaje organizace má, kde a proč, jestli vůbec je může vymazat, nebo naopak nesmí. Opět je dáno 30 dnů na odpověď, podle našeho právního názoru, bez auditu osobních údajů je každý takový dotaz časovaná bomba, omezující vaši běžnou činnost.

Pověřenec pro ochranu osobních údajů (DPO)

Jedna z povinností, která je obecným nařízením na ochranu osobních údajů (GDPR) uložena některým organizacím, je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO, anglicky Data Protection Officer. Pověřence zdaleka nemusí mít každá organizace, ale týká se to především větších firem (nad 250 zaměstnanců), firem, které provádí rozsáhlé a systematické monitorování fyzických osob, popř. provádí rozsáhlé zpracování zvláštních kategorií osobních údajů (zdravotní stav, sexuální orientace, náboženské vyznání ap.). Na druhou stranu DPO může být nápomocen jakékoli organizaci ke zvládnutí povinností, které jsou uloženy nařízením GDPR. Pověřenec pro ochranu osobních údajů má monitorovat soulad zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, má provádět interní audity zpracování osobních údajů, školení zaměstnanců ap. Pověřenec může být externí (např. advokát) nebo interní (i na částečný úvazek). V případě interního pověřence je nutno zajistit, aby byl v rámci firmy nezávislý a nedocházelo ke střetu zájmů (např. pověřencem pro ochranu osobních údajů nemůže být vedoucí personálního oddělení, který při svojí činnosti zpracovává osobní údaje zaměstnanců - nemůže kontrolovat sám sebe).