Category: Nezařazené
GDPR: Pověřenec pro ochranu osobních údajů
GDPR nově na celoevropské úrovni zavádí funkci pověřence pro ochranu osobních údajů (Data Protection Officer). Tento institut je již v některých členských státech znám, nicméně pro české prostředí je tato funkce zcela nová. Podle GDPR má pověřenec plnit funkci koordinátora ochrany osobních údajů příslušného správce nebo zpracovatele a zároveň plní funkci kontaktního bodu pro komunikaci s dozorovými úřady.
Povinnost ustanovit pověřence nastává ve třech případech. Jedním z nich je situace, kdy zpracování provádí orgán veřejné moci či veřejný subjekt a to s výjimkou soudů. Dalším případem je situace, kdy činnost správce spočívá v operacích, které vyžadují rozsáhlé a systematické monitorování občanů. A konečně i situace, kdy hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
Pověřenec pro ochranu osobních údajů může být zaměstnancem správce či zpracovatele, nebo může své úkoly plnit na základě smlouvy o poskytování služeb (tj. externě). Jméno a kontaktní údaje pověřence se následně sděluje regulátorovi a veřejnosti. Je nezbytné, aby byla zajištěna osobní dostupnost pověřence (fyzicky či zabezpečeným komunikačním prostředkem). Pověřenec je pří výkonu svých úkolů vázán povinností mlčenlivosti.
Mezi hlavní úkoly pověřence patří sledování souladu vnitřní praxe podniku s právní úpravou ochrany osobních údajů. Pověřenec by měl sbírat informace k rozpoznání a vymezení zpracovávání osobních údajů a následně informovat, radit a poskytovat doporučení pro správce či zpracovatele osobních údajů.
Lze doporučit, aby správci a zpracovatelé důkladně zvážili, zda se na ně vztahuje povinnost ustanovit pověřence pro ochranu osobních údajů a pokud ne, zda není vhodné zřídit tuto funkci dobrovolně. Samotným jmenováním pověřence se správci a zpracovatelé, kterých se GDPR týká, nezbavují odpovědnosti zajištění ochrany osobních údajů. Nicméně jeho ustanovení může usnadnit zajištění plnění povinností ochrany osobních údajů a při případném porušení zmírnit odpovědnost s poukazem na skutečnost, že správce či zpracovatel vynaložil veškeré úsilí k dodržení ochrany osobních údajů.
GDPR: přehled hlavních změn
Evropská unie přijala před pár dny obecné nařízení o ochraně osobních údajů (to bude do budoucna označováno často jen zkratkou GDPR). To za necelé dva roky nahradí stávající směrnici EU a z ní vycházející český zákon o ochraně osobních údajů, který přestane platit.
Nová úprava je poměrně rozsáhlá a oproti současné české úpravě, která již bez větších změn funguje 15 let, přinese GDPR mnoho revolučních změn týkajících se shromažďování, zpracovávání a uchovávání osobních údajů. Jedná se například o:
- drastické navýšení sankcí za porušení pravidel ochrany osobních údajů. Oproti současnému stavu, kdy maximální sankce dosahují několik miliónů Kč, bude moci dle nové úpravy pokuta udělená ÚOOU dosáhnout až půl miliardy Kč (20 miliónů EUR), případně až 4% celkového celosvětového obratu;
- rozšiřují se stávající a zavádějí se nová práva jednotlivce, včetně práva žádat omezení rozsahu zpracování osobních údajů, práva na přenositelnost osobních údajů, práva na poskytnutí kopie osobních údajů zdarma a tzv. práva „být zapomenut“;
- ruší se formální oznamovací povinnost o úmyslu zpracovat osobní údaje a naopak se zavádí povinnost vést interní záznamy o zpracování osobních údajů;
- mnohé společnosti budou muset zřídit pracovní pozici pověřence pro ochranu osobních údajů;
- dojde ke značnému posílení dozorových úřadů, které nově mohou ve více členských státech EU vést společné koordinované vyšetřování;.
- zpřesní se pravidla pro technická a organizační opatření k zajištění ochrany osobních údajů;
- novou povinností správce bude posouzení vlivu na ochranu osobních údajů u zpracování dat a případná povinná konzultace s dozorovým úřadem;
- porušení zabezpečení osobních údajů bude nutné nově neprodleně oznámit ÚOOU a dotčeným jednotlivcům;
- zavádí se zcela nové koncepty regulace vývoje technologií z hlediska ochrany dat a soukromí (privacy by design a privacy by default).
- bude možné účinně postihovat i správce se sídlem mimo EU;
- a mnoho jiných ….
Ačkoliv se může zdát, že 2 roky jsou dost času na úpravu vnitropodnikových procesů týkajících se ochrany osobních údajů a obecně na zajištění souladu s novou regulací, na základě našich prvních zkušeností a konzultací s evropskými dozorovými orgány je zřejmé, že změny jsou tak zásadního charakteru, že tomu tak není. Dle našeho názoru je tedy třeba se na GPDR začít připravovat co nejdříve. Naše týmy specialistů na ochranu dat jsou Vám v tomto směru samozřejmě k dispozici.
GDPR: Profilování
24.5.2016
Nezařazené
Comments Off on GDPR: Profilování
Jaroslav Tajbr
GDPR obsahuje speciální úpravu institutu profilování, která se významně dotkne mnoha správců osobních údajů. V dnešní době je profilování a analýza velkých objemů dat klíčovou rolí v růstu digitální ekonomiky.
Profilování je dle definice obsažené v článku 4 bodu 4 Nařízení jakákoli forma automatizovaného zpracování osobních údajů, na základě které dochází k vyhodnocení nebo předvídání aspektů v chování osob. Mezi formy profilování se řadí např. hodnocení pracovního výkonu osob, vyhodnocení jejich ekonomické situace pro účely nabídky vhodného finančního nebo pojistného produktu, zdravotního stavu, osobních preferencí, zájmů, místa, kde se nachází, nebo pohybu.
Podnikatelé v dnešní době hojně využívají shromažďovaná data o subjektech k nabízení produktů či služeb přímo na míru spotřebiteli. Profilování se stalo běžnou součástí internetového obchodu, marketingu a dalších odvětví. A právě do takovýchto odvětví zasáhne nová úprava GDPR a profilování nejvíce.
Definici pojmu automatizovaného zpracovávání Nařízení neobsahuje. Jisté vodítko lze najít v Úmluvě Rady Evropy č. 108, která definuje automatizované zpracovávání jako proces operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Z toho v podstatě plyne, že o automatizované zpracovávání osobních údajů se bude jednat v podstatě vždy, pokud jsou ke zpracování osobních údajů využívané automatizované postupy či prostředky.
Problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodnutí, má pro správce význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně povinnosti vyplývající z Nařízení. Definice automatizovaného individuálního rozhodování je potom možno naleznout v článku 22 Nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“.
Jednou ze zásadních povinností vyplývající z Nařízení pro správce či zpracovatele je informační povinnost. Datový subjekt musí být informován o faktu, že jeho data jsou profilována. Poskytnutá informace musí definovat účel, smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Dalším z práv daných subjektům profilovaných údajů je možnost vyřazení z profilování. Subjekt má právo nebýt do profilování zařazen, pokud je realizováno automatickým procesem. Vyřazen navíc musí být okamžitě, jakmile vznese námitku či odvolá souhlas. Článek 21 Nařízení pojednává o možnosti vznést námitku a stanoví, že pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Problematika profilování je rozsáhlá a je pravděpodobné, že bude mít vážný dopadne společnosti, které se podílejí na provádění automatizovaného zpracovávání dat za účelem profilování. Je třeba, aby takové společnosti provedly analýzu procesů, u kterých dochází ke zpracovávání osobních údajů založeném na profilování a přizpůsobily je novým podmínkám stanoveným v Nařízení.