GDPR A DPO
GDPR (General Data Protection Regulation) je legislativní nařízení EU č. 95/46/ES o ochraně osobních údajů (Co jsou osobní údaje?), které nahrazuje současnou legislativu ochrany osobních údajů (zákon č. 101/2000 Sb.) a platí pro celou EU. Zajímá vás, co nového zahrnuje GDPR oproti předchozímu zákonu? Podívejte se na web ÚOOÚ s doplňujícími informacemi.
DPO (Data Protection Officer) je nově vzniklá pozice na základě GDPR, která může být interní nebo externí. Úkolem DPO je dohlížet na to, že společnost nakládá s osobními údaji na základě povinností vyplývajících z nařízení GDPR. DPO je pro některé organizace povinné. Detailní informace naleznete zde.
GDPR nahrazuje Zákon o ochraně osobních údajů. Pokud jste jej již dodržovali, čekají vás pouze drobné změny a povinnosti.
Jakých osobních údajů se nařízení týka?
Jsou to veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). V rámci GDPR chápeme tyto údaje jako všechny informace, na základě kterých můžeme fyzickou osobu přímo nebo nepřímo identifikovat. Do těchto údajů spadá:
jméno
identifikační číslo (rodné číslo, číslo řidičského průkazu, číslo občanského průkazu nebo cestovního pasu apod.)
lokační údaje (jako adresa, trvalé bydliště, doručovací adresa, místo narození apod.)
síťový identifikátor (telefonní číslo, IP adresa, e-mailová adresa – zvláště se jménem apod.)
jeden či více zvláštních prvků fyzické identity (fotografický záznam, video záznam, audio záznam, apod.)
fyziologické údaje (jako pohlaví, zdravotní znevýhodnění apod.)
genetické údaje (jako krevní skupina apod.)
psychické, ekonomické údaje (příjem ze zaměstnání – mzda, plat, příjem z důchodu, apod.)
kulturní nebo společenské identity (vzdělání, osobní stav, apod.) této osoby (subjektu údajů)
Pozor dejte nově na údaje zvláštní (citlivé), kam patří:
údaje o rasovém či etnickém původu (národnost, POZOR: NIKOLIV státní občanství), náboženské vyznání, filozofické vyznání, členství v odborech, politické názory (POZOR: NIKOLIV členství v politické straně nebo hnutí ANI členství v komunistické straně před rokem 1989 dle ÚS)
zdravotní stav – údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb, sexuální orientace, trestní delikty, pravomocná odsouzení
genetické údaje – DNA, RNA, krevní skupina, Rh faktor krve jiné
biometrické údaje – snímek obličeje, otisk prstu, snímek oční duhovky, snímek sítnice, podpis, hlas (zabarvení)
Zásady obecného nařízení GDPR?
zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně
omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
přesnost – osobní údaje musí být přesné
omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
integrita a důvěrnost – technické a organizační zabezpečení osobních údajů
Co to pro Vás znamená?
otevřeně řekněte lidem, jak nakládáte s jejich osobními údaji (musí to být za účelem, na jehož základě jste osobní údaje shromáždili)
zpracovávejte pouze relevantní osobní údaje odpovídající skutečnosti
vymažte, archivujte nebo anonymizujte osobní údaje, které už nepotřebujete
technicky ochraňte data před protiprávním zpracováním, ztrátou, zničením nebo poškozením
zajistěte shodu se všemi výše uvedenými zásadami a jasně ji prokažte
DPO
DPO (Data Privacy Officer), česky Pověřenec pro ochranu osobních údajů – funkci musíte zřídit, když:
zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí
při činnostech vašeho podnikání provádíte operace zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
při činnostech vašeho podnikání provádíte operace zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se například rozsudků v trestních věcech nebo informacích členství v odborech
Pověřenec pro vaši společnost může být interní i externí pracovník na základě smlouvy o poskytování těchto služeb.
Jaké jsou předpoklady pro výkon funkce DPO?
Základním předpokladem je znalost práva a zkušenosti z oblasti ochrany osobních údajů. Další důležité dovednosti jsou:
znalost národního a unijního práva v oblasti ochrany dat
praktické zkušenosti a znalosti Obecného nařízení
znalost prostředí společnosti
znalost IT a bezpečnosti dat
znalost oblasti podnikání a organizace
schopnost propagovat kulturu ochrany dat v organizaci
Jak by měla být role vykonávána pro ty, co DPO musí mít?
Úkoly Pověřence dle Obecného Nařízení:
monitorování souladu s Obecným nařízením
posuzování vlivu na ochranu osobních údajů
spolupráce s dozorovým úřadem a působení jako kontaktní místo
přístup založený na riziku
vedení záznamů
pověřenec může být interní či externí
Co když DPO nepotřebujete, ale chcete mít jistotu, že jste s GDPR stále v obraze?
I v případech, kdy Obecné nařízení konkrétně nevyžaduje jmenování pověřence, mohou organizace dospět k závěru, že dobrovolné ustavení pověřence může být užitečné. Pracovní skupina Evropské Unie vakové snahy podporuje.