Informace pro klienty

Mění se zákon o osobních údajích, co můžeme od GDPR čekat?

V minulém článku z naší sekce Poski radí, jsme vám přichystali článek o osobních údajích. Článek obsahoval informace o tom, jak můžete osobní údaje využít a jak postupovat při jejich zpracování, abyste se zbytečně nedostali do problémů s úřady. Věnovali jsme se také problematice souborů cookies. Tohle vše se dočtete v minulém článku, na který volně navazuje náš další článek. Tentokrát opět o osobních údajích a změnách, které se chystají od roku 2018 v souvislosti s novým nařízením na ochranu osobních údajů.

Ochrana osobních údajů GDPR

TIP: Přečtěte si náš článek E-shopy a ochrana osobních údajů. Jak nepřekročit meze zákona? Doplníte si tak zajímavé informace ohledně nových chystaných změn.

Ke změnám muselo dříve nebo později dojít

V poslední době se stalo naprostou samozřejmostí, že i při obyčejné registraci na webové stránky, jsme museli zadávat své osobní údaje. Nakládání s takto získanými osobními údaji pro vlastní potřebu, například marketingové kampaně, bylo naprosto běžné. Nicméně stále více se rozmohlo i poskytování těchto dat třetím stranám.

Z prodeje osobních údajů, které poskytneme na internetu se stal výnosný byznys, jemuž nahrával i velmi zastaralý zákon o ochraně osobních údajů evropské legislativy.

S trochou nadsázky tak situace okolo osobních údajů připomínala western, čemuž nepochybně dopomáhalo i shromažďování osobních údajů tajnými službami některých států mimo Evropskou unii, které se ale zaměřovaly právě na občany EU. Celé situaci je naštěstí konec, protože s přicházejícím nařízením o ochraně osobních údajů,  se zásadně mění meze zákona. Nyní už nebude tak jednoduché citlivá data zpracovávat, natož s nimi obchodovat.

Obecné nařízení na ochranu osobních údajů

Nové nařízení se běžně označuje zkratkou GDPR, tedy General Data Protection Regulation. Jedná se o doposud nejvíce ucelený soubor pravidel na ochranu osobních údajů a dat podobné povahy. Cílem nařízení je hájit práva občanů EU proti neoprávněnému nakládání s jejich osobními údaji. Obecné nařízení by mělo vstoupit v platnost 28. května 2018. V různých zemích se však může lišit, neboť musí zároveň splňovat i právní řád a zákony jednotlivých členských států.

Změna v souvislosti s GDPR se týká všech, kteří nějakým způsobem zpracovávají data osobní povahy – institucí, jednotlivců i online služeb. Přitom nezáleží na tom, zda se data uchovávají, stačí je jen sledovat a nějakým způsobem analyzovat. Změnu tak pocítí třeba e-shopy, které sledují chování svých zákazníků a analyzují jejich osobní údaje pro účely budoucí marketingové kampaně.

Povinnosti institucí a firem či jednotlivců při platnosti GDPR

Nové opatření se týká převážně oblastí, které dosud nebyly výrazně regulovány. Snahou je co nejvíce chránit práva a citlivé údaje občanů Evropské unie.

  • implementace záměrné a nezbytné ochrany dat
  • vypracování posouzení vlivu na ochranu osobních údajů
  • jmenování pověřence pro ochranu osobních údajů – pověřením může být například pracovní smlouva s osobou, která bude tuto funkci vykonávat jako zaměstnanec
  • zavedení pseudonymizace osobních údajů, tedy procesu skrytí identity, ale s možností dále sbírat informace
  • vedení záznamů o činnostech zpracování osobních údajů
  • konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

 

Pověřenec pro ochranu osobních údajů (DPO – Data Protection Officer) je pak zodpovídající osobou při zpracování a nakládání s osobními údaji a daty. Představuje osobu, která bude jednat s úřady. Bude zastupovat správce a zpracovatele osobních údajů, spolupracovat s dozorovými orgány, kterým musí na vyžádání zpřístupnit všechny záznamy. Každá operace zpracování osobních údajů by navíc měla být evidována.

Při zpracování osobních údajů nezapomeňte, co všechno musí obsahovat záznam o zpracování osobních údajů podle GDPR. Vyhnete se tak zbytečným problémům.

  • jméno a kontaktní údaje správce a zpracovatele spolu s údaji o DPO
  • účel zpracování osobních údajů
  • popis zpracování údajů a dílčích kroků i kategorií
  • informace o příjemcích, kterým byly nebo budou údaje zpřístupněny
  • záznamy o případném mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií těchto údajů
  • popis technických a organizačních opatření

 

Je jasné, že nové Obecné nařízení na ochranu osobních údajů se nedotkne jen online prostoru, ale úplně všech společností i jednotlivců, kteří nějakým způsobem zpracovávají osobní data svých zákazníků, zaměstnanců a podobně. Přicházející GDPR s sebou přináší hlavně daleko větší kontrolu nad zpracováním citlivých údajů, a to jak pro jednotlivce, tak státní orgány. Spolu s tím se předpokládá i lepší vymahatelnost práva a podstatně větší postihy než dosud.

V dalším článku si ukážeme, jaké bude mít GDPR dopady přímo na e-shopy a na obchodníky. S platností GDPR od května 2018 bude totiž mít zákazník mnohem výhodnější postavení než doposud. Nově nebude muset při zakoupení zboží souhlasit se všemi podmínkami, ale jen s těmi, které se přímo vztahují k obchodu a podmiňují ho.

Komentáře