12. prosince 2017
Za porušení nového evropského nařízení o ochraně osobních údajů hrozí poměrně velké sankce, nejvyšší může být až 20 milionů € či čtyři procenta z ročního obratu firmy. Právní konzultantka ochrany dat a bezpečnosti IT Mgr. Eva Škorničková ale upozorňuje na to, že skutečná výše pokuty se v případě porušení pravidel bude posuzovat individuálně, jejím cílem rozhodně nebude zlikvidovat firmu.
Jaké hlavní změny přináší nové nařízení o ochraně osobních údajů?
Je nutné zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, respektive byly pouze detailněji rozpracovány a zpřesněny (například nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů atd.). Obecné nařízení na těchto základech přináší nástavbu spočívající v nových dodatečných povinnostech, které pro české správce budou nové. Mezi tyto povinnosti bude patřit povinnost vést záznamy o činnostech zpracování. Tato povinnost je však omezena počtem nad 250 zaměstnanců, pokud instituce nezpracovává citlivé údaje nebo data s velkým rizikem dopadu na fyzické osoby. Dále zde bude zařazeno posouzení vlivu na ochranu osobních údajů, ohlašovací povinnost v případě úniku dat, ale také ustanovení pověřence.
Koho se nařízení bude týkat?
GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data fyzických osob. Dotkne se tedy nejen velkých mezinárodních firem, ale také drobných živnostníků, kteří mají třeba jen jednoho zaměstnance nebo zpracovávají data svých zákazníků. Ráda bych také upozornila, že pod zpracováním si lze představit pouhé nahlédnutí. Je nutné podotknout, že se nařízení nevztahuje na osobní údaje použité výlučně pro osobní či domácí činnost.
Kdo bude kontrolovat dodržování nařízení a jaké hrozí sankce?
Dodržování nařízení bude kontrolováno ÚOOÚ. Myslím si však, že kontroly budou probíhat především na základě stížností. Pokud firma bude na GDPR připravena, nemusí se pokut obávat. Ty budou vyšší oproti současnosti. Jejich maximální výše je 20 milionů € nebo čtyři procenta z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je například povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řadě dalších.
Jaké údaje vlastně je možné považovat za osobní data?
Osobní údaje neboli data jsou jakékoli informace o identifikovaném nebo identifikovatelném subjektu údajů. V současné legislativě se jedná pouze o údaje o identifikované osobě. Mezi osobní údaje tedy řadíme obecné údaje, organizační údaje a především citlivé údaje. Netřeba poznamenávat, že na citlivé údaje bude potřeba zavádět přísnější opatření. Mezi obecnými údaji si můžeme představit mimo jiné jméno, věk, IP adresu. Naopak mezi citlivé údaje spadá náboženské, politické či filozofické vyznání, genetické a biometrické údaje. Ve velké míře tedy dopadne GDPR na nemocnice, které zpracovávají velké množství citlivých dat.
(tj)