Zpět

Compliance a ochrana osobních údajů

19.01.2018 Autor: Mgr. Alice Kubíčková, LL. M. Kategorie: Ochrana osobních údajů (GDPR) , Compliance programy

V rámci compliance programů je třeba zmínit i jejich využití v oblasti ochrany osobních údajů, resp. zpracování osobních údajů, a to zejména ve světle rychle se blížící nové právní úpravy. Zpracování osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. V rámci podnikání dochází ve větší či menší míře ke zpracování osobních údajů prakticky na denní bázi.


Společnosti vedou své databáze klientů, posílají jim obchodní sdělení, často také předávají získané osobní údaje do zahraničí. Již v současnosti klade platná právní úprava, obsažená zejména v zákoně č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, poměrně značné nároky na chování zpracovatele a správce osobních údajů. S ohledem na skutečnost, že se svět nachází v éře tzv. informační společnosti a dennodenně dochází například k různým registracím do aplikací různých poskytovatelů mobilních služeb, které vyžadují přístup k osobním údajům, vznikla na půdě Evropské unie nová a přísnější legislativa, která reguluje nakládání s osobními údaji. Není totiž možné očekávat, že bez legislativního zásahu by se situace změnila.

V dubnu 2016 byly na poli Evropské unie přijaty tři nové dokumenty týkající se ochrany osobních údajů. Jedná se o následující: nařízení o ochraně osobních údajů, směrnici o používání údajů jmenné evidence cestujících a takzvanou trestněprávní směrnici. Nejdůležitějším předpisem těchto tří dokumentů je Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jako „Nařízení GDPR“). Nařízení GDPR rozšiřuje práva subjektů údajů, tj. fyzických osob, o jejichž osobní údaje se jedná. Výslovně je upraveno právo na výmaz osobních údajů, tzv. právo být zapomenut, právo vznést námitku proti zpracování osobních údajů včetně obrany proti profilování nebo právo na přenositelnost údajů k jinému správci.

Nařízení GDPR dále ukládá některým zpracovatelům povinnost zavést do svých procesů nakládání s osobními údaji novou funkci, tzv. pověřence pro ochranu osobních údajů. Dále je zavedena povinnost správce i zpracovatele hlásit případy porušení zabezpečení osobních údajů, což s sebou ponese téměř automaticky riziko kontroly ze strany kontrolních orgánů. Je proto třeba věnovat tomuto předpisu náležitou pozornost, neboť za porušení jím uložených povinností hrozí velmi vysoké postihy (pokuty mohou dosáhnout až do výše 20 mil. Kč nebo i 4 % z celosvětového obratu skupiny podniků, a to podle toho, jaká sankce je vyšší). Nařízení GDPR již vstoupilo v platnost a bude účinné od 25. května 2018. Správci a zpracovatelé osobních údajů tak mají možnost přizpůsobit své procesy, dokumenty a svůj vztah se subjekty údajů tak, aby jim nehrozilo nebezpečí vysokého postihu.

Nařízení GDPR, kromě jasně definovaných práv a povinností, popisuje také cílový stav, jak by měla ochrana osobních údajů ze strany správců a zpracovatelů vypadat. Je do velké míry na nich, jak tyto cíle naplní, a k jejich naplnění vede jistě více cest. Proto je vhodné dopad Nařízení GDPR na společnost nechat odborně posoudit.

V oblasti ochrany osobních údajů a přípravy na účinnost Nařízení GDPR v současné době vznikají specializované compliance programy zaměřené výhradně na toto téma (např. program NOVÁ 101 – Osobní údaje najisto). Tyto compliance programy zpravidla poskytují prvotní analýzu současného stavu a na základě jejích výsledků navrhují vhodná právní, organizační i technická opatření s cílem plně respektovat Nařízení GDPR a také zefektivnit činnosti společností v této oblasti. I pokud mají společnosti to štěstí, že se jich Nařízení GDPR nedotkne přímo, je nanejvýše vhodné zařadit téma ochrany osobních údajů do obecného compliance programu společnosti.

Právní předpisy citované v článku

(předpisy jsou vždy citovány ve znění pozdějších předpisů, pokud není výslovně uvedeno jinak)

Další články z kategorie
Ochrana osobních údajů (GDPR)

Compliance a ochrana osobních údajů

19.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.

Zpracování osobních údajů uchazečů o zaměstnání

26.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Zpracovávání osobních údajů během pracovního poměru

31.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a sledování zaměstnanců pomocí kamer a GPS ve služební...

14.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a monitoring aktivit zaměstnanců na internetu

23.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková