GDPR A DPO

GDPR (General Data Protection Regulation)  je obecné nařízení o ochraně osobních údajů. DPO (Data Protection Officer) je pověřenec pro ochranu osobních údajů.

GDPR je legislativní nařízení EU č. 95/46/ES o ochraně osobních údajů (Co jsou osobní údaje?), které nahrazuje současnou legislativu ochrany osobních údajů (zákon č. 101/2000 Sb.) a platí pro celou EU. Zajímá vás, co nového zahrnuje GDPR oproti předchozímu zákonu? Podívejte se na web ÚOOÚ s doplňujícími informacemi.

DPO je nově vzniklá pozice (interní nebo externí) na základě GDPR. Úkolem DPO je dohlížet na to, že společnost nakládá s osobními údaji na základě povinností vyplývajících z nařízení GDPR. DPO je pro některé organizace povinné. (Pro koho?)

GDPR nahrazuje Zákon o ochraně osobních údajů. Pokud jste jej již dodržovali, čekají vás pouze drobné změny a povinnosti.

GDPR

Týká se mě GDPR?

Pravděpodobně ano. GDPR doléhá na všechny, kteří shromažďují nebo zpracovávají data občanů EU (bez ohledu na sídlo firmy). GDPR se týká firem, institucí, jednotlivců i online služeb. Za porušování pravidel hrozí vysoké pokuty – 20 000 000 euro nebo 4 % z obratu firmy.

Zásady obecného nařízení GDPR?

Osobní údaje zpracovávejte podle zásad:

  • zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně
  • omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
  • přesnost – osobní údaje musí být přesné
  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
  • integrita a důvěrnost – technické a organizační zabezpečení osobních údajů

Co to pro mě znamená?

  • otevřeně řekněte lidem, jak nakládáte s jejich osobními údaji (musí to být za účelem, na jehož základě jste osobní údaje shromáždili)
  • zpracovávejte pouze relevantní osobní údaje odpovídající skutečnosti
  • vymažte, archivujte nebo anonymizujte osobní údaje, které už nepotřebujete
  • technicky ochraňte data před protiprávním zpracováním, ztrátou, zničením nebo poškozením
  • zajistěte shodu se všemi výše uvedenými zásadami a jasně ji prokažte

DPO

DPO, česky Pověřenec pro ochranu osobních údajů – funkci musíte zřídit, když:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí
  • hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech

Pověřenec pro vaši společnost může být interní i externí pracovník na základě smlouvy o poskytování těchto služeb.

Zajímá vás více o funkci DPO? Podívejte se na web ÚOOÚ.

Předpoklady pro výkon funkce DPO

Základním předpokladem je znalost práva a zkušenosti z oblasti ochrany osobních údajů. Další důležité dovednosti jsou:

  • znalost národního a unijního práva v oblasti ochrany dat
  • praktické zkušenosti a znalosti Obecného nařízení
  • znalost prostředí společnosti
  • znalost IT a bezpečnosti dat
  • znalost oblasti podnikání a organizace
  • schopnost propagovat kulturu ochrany dat v organizaci

Osobní údaje

Jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). V rámci GDPR chápeme tyto údaje jako všechny informace, na základě kterých můžeme fyzickou osobu přímo nebo nepřímo identifikovat. Do těchto údajů spadá:

  • jméno
  • identifikační číslo (rodné číslo, číslo řidičského průkazu, číslo občanského průkazu nebo cestovního pasu apod.)
  • lokační údaje (jako adresa, trvalé bydliště, doručovací adresa, místo narození apod.)
  • síťový identifikátor (telefonní číslo, IP adresa, e-mailová adresa – zvláště se jménem apod.)
  • jeden či více zvláštních prvků fyzické identity (fotografický záznam, video záznam, audio záznam, apod.)
  • fyziologické údaje (jako pohlaví, zdravotní znevýhodnění apod.)
  • genetické údaje (jako krevní skupina apod.)
  • psychické, ekonomické údaje  (příjem ze zaměstnání – mzda, plat, příjem z důchodu, apod.)
  • kulturní nebo společenské identity (vzdělání, osobní stav, apod.) této osoby (subjektu údajů)

Pozor dejte nově na údaje zvláštní (citlivé), kam patří:

  • údaje o rasovém či etnickém původu (národnost, POZOR: NIKOLIV státní občanství), náboženské vyznání, filozofické vyznání, členství v odborech, politické názory (POZOR: NIKOLIV členství v politické straně nebo hnutí ANI členství v komunistické straně před rokem 1989 dle ÚS)
  • zdravotní stav – údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb, sexuální orientace, trestní delikty, pravomocná odsouzení
  • genetické údaje – DNA, RNA, krevní skupina, Rh faktor krve jiné
  • biometrické údaje – snímek obličeje, otisk prstu, snímek oční duhovky, snímek sítnice, podpis, hlas (zabarvení)

Desatero zpracování pro správce najdete na webu ÚOOÚ.

E-mail

FORUM KARLÍN – Pernerova 51,
186 00, Praha 8

Telefon +420 606 727 240
 afel@afel.cz

Poptat audit

Nebo nám rovnou zavolejte na
Telefon +420 606 727 243