dnes je 29.3.2024

Input:

GDPR - stručný přehled povinností správce a zpracovatele

25.6.2018, , Zdroj: Verlag Dashöfer

1.97
GDPR – stručný přehled povinností správce a zpracovatele

Mgr. Alžběta Chovancová

Dne 25. května 2018 se stalo účinným široce diskutované nařízení Evropského parlamentu a Rady (EU) č. 2016/679, tzv. GDPR. Navzdory tomu, že tomuto předpisu bylo za poslední dobu věnováno mnoho pozornosti, budí i dnes v nemalé části svých adresátů obavy způsobené nejasnostmi ohledně povinností, které jim tato norma přinese. Následující text tedy může být považován za stručný, zdaleka ne vyčerpávající, přehled pro základní orientaci v problematice pro ty, kteří prozatím opatření za účelem zajištění souladu s nařízením neučinili, a zároveň ostatním může sloužit pro kontrolu, zda jsou na nařízení dostatečně připraveni.

Právní úprava ochrany osobních údajů obsažená v zákoně č. 101/2000 Sb., o ochraně osobních údajů, je výsledkem implementace směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracování osobních údajů a o volném pohybu těchto údajů, na kterou nařízení navazuje. Kontinuita úpravy tedy zůstává zachována, což se odráží také v tom, že nařízení nepřináší tolik zásadních změn a nových právních institutů jak by se mohlo na první pohled zdát.

Nicméně právě tyto nové povinnosti správců a zpracovatelů osobních údajů s sebou přináší nejvíce nejasností, a je proto stěžejní těmto povinnostem porozumět, a moci tak vyhodnotit, zda je konkrétní správce a zpracovatelé budou muset plnit, a přijmout tedy v tomto směru opatření, či zda se na ně tyto povinnosti nevztahují.

Následující přehled povinností nerozlišuje, zda se povinnost týká správce nebo zpracovatele osobních údajů. V případě, že správce zpracovává osobní údaje prostřednictvím zpracovatele, podléhá velmi zjednodušeně řečeno uvedeným povinnostem zpracovatel. Toto je však pouze základní princip a v žádném případě nelze bez dalšího dovozovat, že by se tímto způsobem správce zbavoval veškeré odpovědnosti za zpracování.

Nové povinnosti správců a zpracovatelů osobních údajů a instituty s nimi spojené

1. Vedení záznamů o činnostech zpracování osobních údajů (čl. 39 GDPR)

Mimo rámec v této části uvedených dílčích konkrétních povinností je obecnou povinností zpracovávat osobní údaje v souladu se zásadami zpracování, jak bude rozebráno níže v textu. Soulad zpracování se zásadami musí být správce schopen doložit, čímž je určitým způsobem kompenzováno zrušení oznamovací povinnosti správce. Jedním z nástrojů, který je zároveň jediným povinným, sloužícím ke splnění této povinnosti, je vedení záznamů o činnostech zpracování, které by měly odrážet pouze obecné záznamy zpracování. Z hlediska obsahu nařízení upravuje pouze obecný rámec, kdy by záznamy měly v zásadě odpovídat na otázky, kdo je správcem, za jakým účelem osobní údaje zpracovává, jaké údaje a údaje jakých osob zpracovává, kdo je příjemcem údajů a ideálně také, jak dlouho budou údaje zpracovávány a jak jsou zabezpečeny.

Soulad zpracování lze nad rámec záznamů o činnosti prokazovat zároveň také přihlášením se ke kodexu a/nebo získáním osvědčení vydávaného akreditovaným subjektem, kterým bude v případě České republiky podle všeho Český institut pro akreditaci, o. p. s. Tyto nástroje k prokazování souladu jsou pouze dobrovolné, pro některé správce však mohou znamenat např. snadnější předávání osobních údajů do zahraničí.

2. Posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR)

Pokud zpracování údajů může představovat vysoké riziko pro subjekty údajů, je správce povinen před započetím zpracování posoudit vliv zpracování na ochranu osobních údajů. Zpracování, se kterými nařízení tuto povinnost pojí, jsou ve zkratce zejména systematická a rozsáhlá vyhodnocování osobních údajů, na němž se zakládají rozhodnutí s právními účinky pro subjekty, rozsáhlé zpracování zvláštních kategorií údajů (např. údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání, zdravotním stavu atd.) a rozsudků v trestních věcech a rozsáhlé systematické monitorování veřejně přístupných prostorů. Jedná se tedy o povinnost, která se týká pouze těchto úzce vymezených druhů zpracování. Posouzení by mělo pojednávat o tom, jak budou údaje zpracovávány a za jakým účelem, dále by měly obsahovat posouzení přiměřenosti způsobu zpracování vzhledem k zamýšlenému účelu, posouzení rizik a popis plánovaných opatření k předcházení těmto rizikům.

3. Předchozí konzultace s dozorovým úřadem (čl. 36 GDPR)

Tato povinnost plynně navazuje na předchozí a vzniká tehdy, pokud je výsledkem

Nahrávám...
Nahrávám...