Obecné nařízení o ochraně osobních údajů, obecně známé jako GDPR, už s námi čtvrtým rokem hájí práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Za tu dobu jsme se dočkali 3 oprav a aktualizací – první se netýkala ČR, druhá z roku 2018 přinesla 28 změn a třetí z toku 2021 také 28 změn. Jaké změny přinese GDPR nařízení v roce 2023?
Začátkem roku jsme vás informovali o legislativních změnách v Intrastatu a o tom, jak v roce 2022 oslovovat zákazníky v souladu s platnou legislativou. Jaké novinky ohledně GDPR a zpracování osobních údajů přinese rok 2023? Podle aktuálních informací nás žádné velké či zásadní změny nečekají. Evropské směrnice týkající se osobních údajů, které by mohly mít eventuálně nějaký dopad do naší legislativy, jsou momentálně ve stádiu vyjednávání. Jde o návrhy právních předpisů o umělé inteligenci (AIA) a elektronické identitě (eIDR). AIA počítá se zákazem technologií představujících nepřijatelné bezpečnostní riziko, např. sociální hodnocení lidí. Aktualizace eIDR (tj. „evropské digitální peněženky“) by měla umožnit soukromoprávní prokazování totožnosti. Uvedené předpisy se zřejmě dotknou i zpracování osobních údajů v ČR, nicméně s největší pravděpodobností ne v roce 2023.
Co se rozhodně ovšem v roce 2023 uplatňovat bude, jsou sankce a postihy za porušení GDPR nařízení. Abyste se jim vyhnuli, připravili jsme pro vás seznam největších pochybení, omylů, nepřesností a zavádějících výkladů GDPR.
Nařízení GDPR nijak explicitně neukládá povinnost při zpracování osobních údajů použít specifické opatření, např. šifrování. Povinná je pouze implementace adekvátních technickoorganizačních prostředků při zpracovávání osobních údajů. Šifrování je v nařízení GDPR uvedeno pouze jako příklad možných opatření, ovšem s ohledem na možná rizika (náhodné či protiprávní zničení, pozměňování nebo neautorizovaný přístup k datům).
Pověřenec pro ochranu osobních údajů (DPO) je jedním z mnoha prostředků ochrany osobních údajů. Pověřence jmenuje správce osobních údajů, nicméně pouze za splnění jedné z následujících podmínek:
V ostatních případech (tj. při provádění jiných než výše uvedených činností) správci nemají povinnost jmenovat DPO.
Pokud se na vás vztahuje povinnost jmenovat DPO (viz předchozí odstavec), musíte tak učinit s ohledem na:
Výše uvedené požadavky nejsou nijak dále specifikovány, tj. neexistuje žádná povinnost DPO se prokazovat certifikátem či osvědčením. Pouze v případech, kdy správce zpracovává osobní údaje v režimu utajovaných informací, musí DPO splňovat podmínky uvedené v souvisejících předpisech.
Nařízení GDPR definuje za případné porušení uložení sankcí. V českém právním prostředí však není jednoznačně určeno, že sankce mají vycházet z obratu. Je pouze uvedeno, že sankce mají být účinné, přiměřené a odrazující. Úřad pro ochranu osobních údajů (tedy orgán státní moci oprávněný k udílení sankcí za porušení GDPR) může udělit pokutu do výše 10 milionů Kč. Nejvyšší dosud uložená pokuta ovšem nedosahovala ani poloviny této částky.
Správce a zadavatel zpracování osobních údajů mají povinnost zajistit, aby DPO nedostával přímé pokyny, které se týkají úkolů ukládaných obecným nařízením. Dále nemůže být DPO v souvislosti s plněním těchto úkolů sankcionován, nebo dokonce propuštěn. To ale neznamená, že správce nemůže DPO ukládat úkoly – lze dokonce ukládat úkoly a zadávat činnosti, které přímo nevyplývají z výkladu nařízení GDPR (např. testování a posuzování opatření k zabezpečení osobních údajů u správce). Stále ovšem platí, že pro podobný typ úkolů nesmí být DPO ve střetu zájmů.
Pokud chcete mít jistotu, že je GDPR ve vaší organizaci v pořádku, obraťte se na nás. Poskytujeme služby nezávislého DPO a problematikou GDPR jsme provedli více než 150 klientů a provedeme i vás, ať už patříte mezi soukromé společnosti nebo orgány státní správy.
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky
