GDPR - Jste v souladu?
Problematice GDPR jsme se věnovali již v článku Téma roku 2018? GDPR
(http://www.fucik.cz/publikace/tema-roku-2018-gdpr/), kde názvem článku předvídáme GDPR prvenství mezi tématy tohoto roku. V roce 2018 vám přejeme hodně štěstí na vaší cestě k dosažení souladu s GDPR. Zdá se vám tato cesta příliš složitá? Máte obavy, že se není čeho „chytit“? Věřte, že v tom nejste sami.
Obecné nařízení o ochraně osobních údajů přináší kromě povinností i nástroje, s jejichž
pomocí lze tyto povinnosti plnit. Řada z nich bude teprve vznikat, jedná se např. o kodexy chování, udělování osvědčení o souladu s GDPR, či závazná vnitropodniková pravidla.
Již nyní se však lze „chytit“ pokynů a vodítek tzv. Pracovní skupiny WP29, které
představují důležitý výkladový materiál Obecného nařízení a mnohdy stanovují
i tzv. nejlepší doporučený postup. Tyto dokumenty jsou průběžně zveřejňovány na stránkách
Úřadu pro ochranu osobních údajů, který v současné době plní a i nadále bude
plnit roli dozorového úřadu. Najdete zde např. vodítka a pokyny k problematice pověřenců,
práva na přenositelnost údajů, k ohlašování případů porušení, k souhlasu či uplatnění a stanovení správních pokut.
A na jaké požadavky bychom měli být při zpracování osobních údajů připraveni, chceme-li být v souladu s Obecným nařízením?
Hlavním adresátem povinností stanovených v Obecném nařízení je správce, tedy ten,
který určuje účel a prostředky zpracování osobních údajů. Správce může zpracováním
osobních údajů pověřit jiný subjekt, tzv. zpracovatele. I v takovém případě však platí,
že tím, kdo odpovídá za zpracování, je správce. Zároveň je odpovědný i za výběr
vhodného zpracovatele. Proto je důležité, aby využíval pouze ty zpracovatele,
kteří poskytují dostatečné záruky zavedení vhodných opatření pro splnění požadavků
Obecného nařízení. Vzájemné vztahy správce a zpracovatele se budou řídit písemnou
smlouvou zavazující zpracovatele vůči správci. Ta by měla stanovit především předmět
a dobu trvání zpracování, povahu a účel zpracování, typ osobních údajů, kategorii
subjektů údajů, práva a povinnosti každé strany. Případné zapojení dalšího zpracovatele
bude možné pouze po předchozím schválení správcem a za stejných podmínek, které jsou smluveny mezi správcem a zpracovatelem.
Hlavními nositeli práv stanovených v Obecném nařízení jsou subjekty údajů, tedy
fyzické osoby, jejichž údaje jsou zpracovávány. V okamžiku získání jejich osobních údajů s nimi v roli správce komunikujte jednoduchou formou. Sdělte jim, kdo jste, jaké údaje se chystáte zpracovávat, pro jaké účely a na základě jakého právního důvodu, jak dlouho je
budete uchovávat, kdo je získá. Informujte je o jejich právech (právu přístupu k
osobním údajům, jejich opravy nebo výmazu, právu na přenositelnost, právu podat
stížnost u dozorového úřadu,…) a buďte připraveni na výkon těchto práv. V případě
existence vážného rizika v souvislosti s narušením zabezpečení údajů informujte ty, jejichž
údajů se to týká. Potřebujete-li ke zpracování osobních údajů souhlas subjektu údajů, tento
souhlas by měl být dobrovolný, doložitelný, s jasně stanoveným účelem zpracování a měl
by být definován jako samostatný text. Pokud souhlasy získané v minulosti tyto vlastnosti
nemají, je nutné požádat o nové a to nejlépe před účinností Obecného nařízení.
Kromě výše uvedeného zavádí Obecné nařízení některé nové povinnosti, které jsou
aplikovány na základě přístupu založeném na riziku. V roli správce i zpracovatele
musíte být schopni doložit, že jste s přihlédnutím k povaze, rozsahu, kontextu a účelům
zpracování i k možným rizikům zavedli vhodná technická a organizační opatření
k zajištění souladu s požadavky Obecného nařízení. Musíte vést záznamy o činnostech
zpracování, výjimkou jsou organizace s méně než 250 zaměstnanci, pokud jimi
prováděné zpracování nepředstavuje riziko pro práva a svobody subjektů údajů a nezpracovávají zvláštní kategorie osobních údajů. Pokud patříte mezi ty, jimž tuto povinnost
stanoví Obecné nařízení, musíte jmenovat pověřence pro ochranu osobních údajů a zveřejnit jeho kontaktní údaje. V případě pravděpodobnosti vzniku vysokého rizika pro práva
a svobody osob v souvislosti se zpracováním jejich osobních údajů musíte jako správce před jeho zahájením provést posouzení vlivu na ochranu osobních údajů, vč. případné konzultace s dozorovým úřadem. Jakmile zjistíte porušení zabezpečení osobních údajů, které je rizikové, musíte tuto skutečnost bez zbytečného odkladu (pokud možno do 72 hodin) ohlásit v roli správce dozorovému úřadu, v roli zpracovatele správci.
V procesu implementace je nutné si uvědomit, že podmínky pro zpracování osobních
údajů nemusí být stanoveny pouze Obecným nařízením, ale i jinými zákony či zvláštními právními předpisy, které mohou stanovit další podmínky pro zákonný způsob zpracování osobních údajů. Jedná se např. o občanský zákoník, zákon o evidenci obyvatel a rodných čísel,
zákon o archivnictví a spisové službě, ve mzdové oblasti je to např. zákoník práce,
zákon o zaměstnanosti, zákony upravující komunikaci v oblasti sociálního a zdravotního zabezpečení a daní. Tyto zákony se v kontextu se zavedením Obecného nařízení nezmění.
V oblasti elektronických komunikací jde např. o zákon o elektronických komunikacích
a zákon o některých službách informační společnosti, které budou v budoucnu nahrazeny
tzv. ePrivacy nařízením.
Obecné nařízení však není pouze o povinnostech. Pozitivním přínosem Obecného
nařízení bude zjednodušení právního prostředí, pravidla v oblasti ochrany
osobních údajů budou ve všech státech EU stejná. Vznikne jednotné kontaktní místo, společnosti tedy budou jednat pouze s jedním orgánem, což jim zaručí větší
právní jistotu. Nadnárodní podniky budou mít k dispozici
jasná a jednoznačná pravidla. Právo na přenositelnost
údajů usnadní potenciálním zákazníkům přenášení jejich osobních údajů mezi poskytovateli služeb, což podpoří konkurenceschopnost. Obecné nařízení tak může být i příležitostí.
Všechny newslettery společnosti Fučík a partneři
Ing. Michal Sikora
Auditor, manažer oddělení auditu
michal.sikora@fucik.cz
Michal se zaměřuje na ekonomické a účetní poradenství v oblasti podnikových kombinací, finanční due-diligence, reporting dle IFRS, US GAAP a jiných mezinárodních standardů. Provádí audity účetních závěrek a jiné ověřovací zakázky.
Fučík & Partneři
Od roku 1995 působíme na poli daňového poradenství a auditu. Svým klientům nabízíme mnohaleté zkušenosti podnikového poradenství. Pořádáme vzdělávací semináře na témata z daňového prostředí. Účastníme se odborných konferencí a diskuzí. A dále se specializujeme na řízení lidských zdrojů a outsourcing mzdového a finančního účetnictví. Poskytujeme komplexní poradenské služby v oblasti auditu, daní, podnikového poradenství, účetnictví, personálního poradenství včetně mzdového účetnictví a transakčního poradenství. Naším cílem je spokojenost našich klientů.
Děláme to, co nás baví, dělejte to také a starosti s účetnictvím a daněmi nechte na nás!
Více informací na: http://www.fucik.cz/
Poslední zprávy z rubriky Okénko daně:
Přečtěte si také:
Prezentace
25.04.2024 Pobřeží Egejského moře - ideální tip na všechny...
24.04.2024 Výsledková sezóna: Jak se daří výrobcům čipů a...
23.04.2024 Podle čeho vybírat plechový zahradní domek?
Okénko investora
Štěpán Křeček, BHS
Petr Lajsek, Purple Trading
Ali Daylami, BITmarkets
Michal Brothánek, AVANT IS
Olívia Lacenová, Wonderinterest Trading Ltd.
Evropský průmysl zelené energie má problém: Společnosti se stěhují do USA
Miroslav Novák, AKCENTA
Spotřebitelská inflace v eurozóně odeznívá, pro služby to však úplně neplatí
Jiří Cimpel, Cimpel & Partneři
Jakub Petruška, Zlaťáky.cz