Sněmovna přijala zákon o zpracování osobních údajů

zákon o zpracování osobních údajů

Sněmovna konečně přijala zákon o zpracování osobních údajů a předala jeho znění senátu. Došlo tak k posunu v implementaci nařízení GDPR do našeho právního řádu. Co důležitého nám to přináší? Kromě nám všem známého nařízení 2016/679, implementuje též nařízení 2016/680, které upravuje nakládání s osobními údaji v rámci trestněprávního řízení.

Předně implementace upravuje věkovou způsobilost dítěte k udělení souhlasu, kde tuto hranici synchronizuje s ostatním odpovědnostním právem na věk patnácti let. Otázkou ale zůstane ověřitelnost nových uživatelů nejen facebooku, ale i dalších sociálních sítí.

Každého správce povinuje informační povinností, pokud možno dálkovým přístupem, tedy nejlépe zveřejněním na webových stránkách.

Akreditace bude možné vydávat jen dle zákona 22/1997 Sb. o technických požadavcích na výrobky… To konečně bude znamenat neplatnost mnoha udělených certifikátů a standardizování této procedury. Nějakou dobu také bude trvat vytvoření celé certifikační procedury.

To co nařízení jen naznačovalo zákon vyloženě povoluje – zpracování pro vědecké, statistické údaje a hlavně pro novinářské účely.

Udělování souhlasu je vlastně uzavřením smlouvy mezi správcem a subjektem údajů o nějakém zpracování osobních údajů mimo běžné použití, tedy plnění zákonných či smluvních.

Asi nejdůležitější úpravou je, že každý správce musí dokumentovat přijatá opatření pro ochranu osobních údajů a to jak po stránce technické, tak organizační.

Zákon jasně uvádí pro zaměstnance a pověřené osoby povinnost mlčenlivosti, nebude tedy třeba toto uvádět do smluv. Naopak při školení zaměstnanců (jedno z organizačních opatření) je vhodné toto zmínit.

Pro mnoho, zejména malých, společností bude problém zajistit ustanovení §46, při automatizovaném zpracování – ne že by šlo o technicky těžkou záležitost, ale stačí se podívat kolem, jak své IT a potažmo jeho zabezpečení neumí zajistit ani korporátní společnosti a mnohé státní organizace. V tomto případě mám na mysli pořizování záznamů , které určí kdo kdy a z jakého důvody informace o osobních údajích zpracovával. V tomto ohledu by mělo dojít i k úpravám různých veřejných rejstříků, které sice nutně potřebujeme, na druhou stranu jsou naprosto běžně využívány k neomezenému sběru dat.

Povinný výmaz – skartace – po ukončení důvodů zpracování bude také pro mnohé organizace problém, ačkoli používají systémy, které umožňují nastavit dobu zpracování.

Ačkoli pro problematiku legislativy a bezpečnosti na silnicích máme BESIP, v právech subjektů a bezpečnosti IT takovou výraznou organizaci nemáme. Občané jsou málo informováni o svých právech, potvrzení podmínek zpracování berou spíše jako nutné bruselské zlo. A naopak těch několik, kteří se pak dožadují poskytnutí informací, může často narazit. Příkladem může být nedávná kauza z ČVUT.

Petr Gondek, DPO, managing director GDPR Support s.r.o.