Strašák GDPR? SERIÁL O GDPR KROK ZA KROKEM – díl V.
V dalším díle bychom se zaměřili na některé praktické povinnosti, které obecné nařízení klade na zpracovatele či správce osobních údajů.
1) provedení tzv. posouzení dopadu činností na ochranu osobních údajů dle čl. 35 GDPR. Posouzení dopadu by mělo obsahovat systematický popis zamýšleného zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, provedení testu proporcionality včetně posouzení, zda je zpracování ve vztahu k deklarovaným účelům nezbytné, následné posouzení funkčnosti přijatých opatření, zda jsou dostatečné. Toto se musí udát před účinností GDPR a začne se analýzou současného stavu.
U subjektů, kde zpracování osobních údajů může mít za následek vysoké riziko pro práva a svobody fyzických osob, což GDPR příkladmo uvádí jako tyto činnosti, tj.
- systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
- rozsáhlé systematické monitorování veřejně přístupných prostorů,
je dle nařízení GDPR je povinnost již toto posouzení provést. AK upozorňuje na povinnost konzultace s ÚOOÚ v případě, kdy je povinnost takové posouzení provést.
Např. už jenom tím, že u subjektu funguje tzv. věrnostní program a zpracovává údaje o zákaznících a vyhodnocuje chování zákazníků, do této povinnosti spadá. Poměrně málo se ví, že tzv. pomocné kritérium v případě nejasnosti splnění této podmínky je počet zaměstnanců, kterým musí být více než 250.
2) vedení záznamů o činnostech zpracování čl. 30 a 82 GDPR.
Dle čl. 30 bod 5. nařízení GDPR má povinnost vést záznamy o činnostech jakýkoli subjekt s minimálně 250 zaměstnanci.
3) ohlašování případů porušení bezpečnosti osobních údajů dle čl. 33 GDPR
Dle čl. 33 nařízení GDPR je nutné učinit ohlášení do 72 hodin od zjištění, a to jak ÚOOÚ, tak i dotčeným fyzickým osobám. Toto je ideální smluvně ošetřit, např. aby toto ohlašoval tzv. pověřenec ochrany údajů. Je na to dost času, takže se doporučuje se neunáhlovat a nejprve analyzovat, vyhodnotit míru rizika, připravit a spustit nápravná opatření či jejich část, a oznámení viz výše.
4) jmenování pověřence ochrany osobních údajů dle čl. 37 GDPR – resp. posouzení si, zda je nutné jej jmenovat – jedná se o osobu s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany údajů, jež pro správce nebo zpracovatele zajišťuje soulad s nařízením, případně dalšími předpisy v oblasti ochrany osobních údajů.
Povinnost jmenování pověřence jsou např. v případě, že je splněna podmínka dle čl. 37 bod 1 písm. b) GDPR, tj. hlavní činnosti správce spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů. „Pravidelně monitorovat“ znamená, že tento proces probíhá kontinuálně nebo v určitých delších intervalech po delší dobu, je opakovaný a opakující se ve stanovených časech nebo k němu dochází periodicky. Pojem „systematický“ je pak vykládán jako vyskytující se podle určité systematiky, předem uspořádaný, organizovaný nebo metodický, vyskytující se jako část obecného plánu sběru dat, případně je prováděný jako součást strategie. Příkladmo sem patří e-shopy, věrnostní programy, cílená reklamní sdělení podle chování zákazníků, e-mail retaigering atd.
Vedle toho mají povinnost jmenovat pověřence dle 37 bod 1 písm. a) GDPR orgány veřejné moci či veřejné subjekty, s výjimkou soudů jednajících v rámci svých soudních pravomocí a dle 37 bod 1 písm. c) GDPR ti, kdy hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
Mgr. Bc. Kamila Klvačová, advokát