x
Obecným právním předpisem ochrany osobních údajů je zákon č. 101/2000 Sb. o ochraně osobních údajů, který od 25.5.2018 bude nahrazen Nařízením Evropského parlamentu a rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46/ES (dále jen GDPR). Nařízení EU má přednost před zákonem a je přímo aplikovatelné a závazné pro všechny členské státy EU. Ty si mohou upravit některá pravidla ve velmi omezené míře tak, aby zákon o ochraně osobních údajů byl v souladu s GDPR. Takový aplikační zákon je nyní předložen vládou do mezirezortního připomínkového řízení jako reakce na nařízení Evropského parlamentu a rady EU.
Text GDPR je velmi rozsáhlý materiál, který zaujímá cca 90 stran a bohužel pro čtenáře, který není detailně obeznámen s touto problematikou je prakticky obtížně srozumitelný. Celá tato úprava otevřela prostor pro řadu nejasností a výkladových problémů, ke kterým se zatím nelze vyjádřit a stanoviska zaujímají i odborné organizace jako ÚOOÚ jenom v obecné rovině a odkazují na budoucí vývoj výkladů a judikaturu.
Ačkoliv GDPR vstoupí v účinnost 25. 5. 2018 je třeba se začít připravovat na tuto skutečnost a to tak, že stručně nastíněná pravidla dopadají na firmy jako celek a dotýkají se každého kdo pracuje s osobními údaji. Je nezbytné zmapovat jaký druh osobních údajů se zpracovává, např. osobní, citlivé údaje nebo údaje děti, kdo s nimi pracuje, jak jsou zabezpečeny a kde jsou uloženy. Pravděpodobně bude nezbytné přijmout v tomto směru nějakou směrnici nebo usnesení. Bude dobré revidovat dosavadní získané souhlasy a podrobněji je upravit, aby člen věděl kdo zpracovává jeho osobní údaje , proč je zpracovává a jak dlouho budou uchovávány a kdo další je získá.
• seznámit se pokud možno se změnami v GDPR
• svolat poradu a zjistit přehled o osobních údajích, které musíme mít
• zbavit se dat, která nejsou třeba
• zjistit které osoby s nimi pracují, kde jsou uloženy a v jaké podobě (elektronické, papírové)
• zjistit k jakému účelu jsou data zpracovány (např. mzdová a personální agenda, seznam. členů apod.)
• vydat interní opatření k zabezpečení osobních údajů a jmenovat soby, které k nim mají přístup (může znamenat i změnu ve stanovách)¨
• provést revizi souhlasů se zpracováním a revizi smluv s externími firmami, které budou s osobními údaji pracovat (zpracovatel)
• podle možností zajistit školení v této oblasti
• doporučujeme pojištění odpovědnosti statutárních orgánů (lze zajistit i v kanceláři SMBD)
Více naleznete v novém čísle Informačního bulletinu SMBD č. 4/2017, který vychází v polovině září 2017.
28. 8. 2017
Autor: SMBD