GDPR ve firmě – jaké jsou legislativní požadavky
Přestože je již Nařízení Evropského parlamentu a Rady (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) účinné téměř čtyři roky, stále existují společnosti, které tápou nad rozsahem a správnou implementací povinností, které tento právní předpis přinesl. Z tohoto důvodu jsem se zaměřil na stručný popis základních kroků, které musí každá společnost učinit k tomu, aby byla schopna dostát svých povinností vyplývajících z tohoto nařízení.
Prvním krokem, který musí každá společnost bez ohledu na počet zaměstnanců či obor činnosti učinit, je identifikace rozsahu zpracovávaných osobních údajů a to od osobních údajů zaměstnanců po osobní údaje zákazníků či spolupracujících osob. Stejný postup je nutné dále učinit také ve vztahu ke svým obchodním partnerům a dodavatelům, kterým mohou být osobní údaje v rámci obchodního vztahu předávány. Současně s rozsahem zpracovávaných osobních údajů je pro společnost důležité zmapovat také procesy, kterými k tomuto zpracování dochází. Tento krok je pro každou společnost zcela zásadní, neboť se od rozsahu zpracování osobních údajů dále odvíjí implementace jednotlivých opatření dle GDPR.
Na základě výsledků identifikace zpracovávaných osobních údajů musí každá společnost vyhodnotit, zda zpracovává osobní údaje jen za účelem, pro který byly subjektem zpracování sděleny a současně zda jsou tyto osobní údaje pro její činnost nezbytné, či zda dochází ke zpracování i osobních údajů nadbytečných. Posléze je společnost schopna vyhodnotit s ohledem na zásadu minimalizace osobních údajů stanovenou v čl. 5 odst. 1 písm. c) GDPR, zda bude nutné rozsah zpracovávaných osobních údajů na základě shora uvedené analýzy za účelem splnění požadavků GDPR omezit.
Po identifikaci rozsahu zpracování osobních údajů a procesů, při kterých ke zpracování dochází, je možné přistoupit k dalšímu kroku, kterým je vypracování interních předpisů. Interní předpisy mají z úkol jasně a srozumitelně nastavit postupy při zpracování osobních údajů, zajistit dostatečnou míru jejich ochrany po dobu zpracování, určit pověřené osoby, které budou na zpracování osobních údajů ve společnosti dohlížet a vytvořit systém pro hlášení případných bezpečnostních incidentů.
Účelem interních předpisů je také zajistit dostatečné zabezpečení nosičů obsahujících zpracované osobní údaje, a to jak papírových, tak digitálních. Míra zabezpečení se v tomto ohledu může lišit s přihlédnutím k charakteru a citlivosti zpracovávaných osobních údajů. Jedním z opomíjených kroků k dostatečnému zabezpečení je také určení oprávněných osob, které mají přístup ke zpracovávaným osobním údajům a mohou s nimi nakládat.
V případě, že určité společnosti nesvědčí žádná ze zákonných podmínek zpracování osobních údajů stanovená v čl. 6 odst. 1 písm. b) až f) GDPR, je nezbytné získávat osobní údaje subjektů na základě souhlasů se zpracováním osobních údajů. V takovém případě musí společnost souhlasy v souladu s požadavky GDPR vytvořit a zajistit jejich bezpodmínečné užití všemi zaměstnanci ve vztahu k subjektům zpracování.
Se zpracováváním osobních údajů od jednotlivých subjektů souvisí také následující krok, a to je povinnost společnosti vytvořit vyhovující postupy pro zajištění plné informovanosti subjektů zpracování osobních údajů o procesu zpracování a jejich právech spojených s předanými osobními údaji, jak jsou stanoveny v čl. 13 GDPR.
Nad rámec shora uvedeného musí dále určité společnosti, které naplňují podmínky stanovené v čl. 37 a násl. GDPR, tj. zejména společnosti, mezi jejichž hlavní činnosti patří rozsáhlé zpracování citlivých osobních údajů nebo mezi jejichž hlavní činnosti patří rozsáhlé pravidelné a systematické monitorování fyzických osob, jmenovat pověřence pro ochranu osobních údajů, který zaštiťuje celou činnost společnosti při zpracování osobních údajů a dohlíží na dodržování povinností stanovených GDPR.
Se všemi shora uvedenými kroky souvisí také legislativní požadavek pro určité správce osobních údajů stanovený v čl. 30 GDPR, kterým je povinnost vést záznamy o činnostech zpracování a být připraven tyto v případě nutnosti předat dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů.
Závěrem je nutné upozornit, že v případě porušení povinností stanovených GDPR hrozí společnosti uložení pokuty až v řádech desítek milionů korun (pozn. dle čl. 83 GDPR v některých případech může pokuta dosahovat až výše 20.000.000 EUR, této částce se však pokuty doposud uložené v České republice nepřiblížily), a není tedy radno svou povinnost zlehčovat či jinak zanedbávat.
Mgr. Jakub Soukup
„Advokátní kancelář TOMAN & PARTNEŘI poskytuje komplexní právní služby na nejvyšší úrovni jak domácím, tak zahraničním klientům již přes 30 let. Advokátní kancelář disponuje několika týmy, specializujícími se na různé oblasti práva, jako je právo IT a média, trestní právo, obchodní právo, rodinné právo, mezinárodní právo, nemovitostní právo, vymáhání pohledávek a exekuce a mnoho dalších. Pokud tedy vyhledáváte kvalitní právní služby, neváhejte nás kontaktovat!“