top of page
Gavel

GDPR A DPO

GDPR (General Data Protection Regulation) je legislativní nařízení EU č. 95/46/ES o ochraně osobních údajů (Co jsou osobní údaje?), které nahrazuje současnou legislativu ochrany osobních údajů (zákon č. 101/2000 Sb.) a platí pro celou EU. Zajímá vás, co nového zahrnuje GDPR oproti předchozímu zákonu? Podívejte se na web ÚOOÚ s doplňujícími informacemi.

DPO (Data Protection Officer) je nově vzniklá pozice na základě GDPR, která může být interní nebo externí. Úkolem DPO je dohlížet na to, že společnost nakládá s osobními údaji na základě povinností vyplývajících z nařízení GDPR. DPO je pro některé organizace povinné. Detailní informace naleznete zde.

GDPR nahrazuje Zákon o ochraně osobních údajů. Pokud jste jej již dodržovali, čekají vás pouze drobné změny a povinnosti.

Jakých osobních údajů se nařízení týka?

Jsou to veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). V rámci GDPR chápeme tyto údaje jako všechny informace, na základě kterých můžeme fyzickou osobu přímo nebo nepřímo identifikovat. Do těchto údajů spadá:

  • jméno

  • identifikační číslo (rodné číslo, číslo řidičského průkazu, číslo občanského průkazu nebo cestovního pasu apod.)

  • lokační údaje (jako adresa, trvalé bydliště, doručovací adresa, místo narození apod.)

  • síťový identifikátor (telefonní číslo, IP adresa, e-mailová adresa – zvláště se jménem apod.)

  • jeden či více zvláštních prvků fyzické identity (fotografický záznam, video záznam, audio záznam, apod.)

  • fyziologické údaje (jako pohlaví, zdravotní znevýhodnění apod.)

  • genetické údaje (jako krevní skupina apod.)

  • psychické, ekonomické údaje  (příjem ze zaměstnání – mzda, plat, příjem z důchodu, apod.)

  • kulturní nebo společenské identity (vzdělání, osobní stav, apod.) této osoby (subjektu údajů)

Pozor dejte nově na údaje zvláštní (citlivé), kam patří:

  • údaje o rasovém či etnickém původu (národnost, POZOR: NIKOLIV státní občanství), náboženské vyznání, filozofické vyznání, členství v odborech, politické názory (POZOR: NIKOLIV členství v politické straně nebo hnutí ANI členství v komunistické straně před rokem 1989 dle ÚS)

  • zdravotní stav – údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb, sexuální orientace, trestní delikty, pravomocná odsouzení

  • genetické údaje – DNA, RNA, krevní skupina, Rh faktor krve jiné

  • biometrické údaje – snímek obličeje, otisk prstu, snímek oční duhovky, snímek sítnice, podpis, hlas (zabarvení)

Zásady obecného nařízení GDPR?

  • zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně

  • omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely

  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány

  • přesnost – osobní údaje musí být přesné

  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány

  • integrita a důvěrnost – technické a organizační zabezpečení osobních údajů

Co to pro Vás znamená?

  • otevřeně řekněte lidem, jak nakládáte s jejich osobními údaji (musí to být za účelem, na jehož základě jste osobní údaje shromáždili)

  • zpracovávejte pouze relevantní osobní údaje odpovídající skutečnosti

  • vymažte, archivujte nebo anonymizujte osobní údaje, které už nepotřebujete

  • technicky ochraňte data před protiprávním zpracováním, ztrátou, zničením nebo poškozením

  • zajistěte shodu se všemi výše uvedenými zásadami a jasně ji prokažte

Fountain Pen

DPO

DPO (Data Privacy Officer), česky Pověřenec pro ochranu osobních údajů – funkci musíte zřídit, když:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí

  • při činnostech vašeho podnikání provádíte operace zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů

  • při činnostech vašeho podnikání provádíte operace zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se například rozsudků v trestních věcech nebo informacích členství v odborech

Pověřenec pro vaši společnost může být interní i externí pracovník na základě smlouvy o poskytování těchto služeb.

Business Meeting

Jaké jsou předpoklady pro výkon funkce DPO?

Základním předpokladem je znalost práva a zkušenosti z oblasti ochrany osobních údajů. Další důležité dovednosti jsou:

  • znalost národního a unijního práva v oblasti ochrany dat

  • praktické zkušenosti a znalosti Obecného nařízení

  • znalost prostředí společnosti

  • znalost IT a bezpečnosti dat

  • znalost oblasti podnikání a organizace

  • schopnost propagovat kulturu ochrany dat v organizaci

Jak by měla být role vykonávána pro ty, co DPO musí mít?

Úkoly Pověřence dle Obecného Nařízení:

  • monitorování souladu s Obecným nařízením

  • posuzování vlivu na ochranu osobních údajů

  • ​spolupráce s dozorovým úřadem a působení jako kontaktní místo

  • ​přístup založený na riziku

  • vedení záznamů

  • pověřenec může být interní či externí

Brainstorming
Business Meeting

Co když DPO nepotřebujete, ale chcete mít jistotu, že jste s GDPR stále v obraze?

I v případech, kdy Obecné nařízení konkrétně nevyžaduje jmenování pověřence, mohou organizace dospět k závěru, že dobrovolné ustavení pověřence může být užitečné. Pracovní skupina Evropské Unie vakové snahy podporuje.

bottom of page