"

GDPR Nové přístupy v odpovědnosti franchisingových podniků

28. 02. 2018 Sdílej na Internetový časopis pro podnikání a franchising

Princip odpovědnosti znamená odpovědnost správce za dodržení uvedených zásad zpracování a zároveň musí správce být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování.

Přístup založený na riziku znamená, že správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů. V užším slova smyslu jde o aplikaci některých povinností v případě, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko pro práva a svobody fyzické osoby. V tomto rozsahu se princip založený na riziku uplatňuje zejména u nových povinností, jako je ohlašování, resp. oznamování případu porušení zabezpečení osobních údajů, posuzování vlivu zpracování na ochranu osobních údajů a povinné konzultace, jejichž aplikace je vázána na přítomnost rizika či vysokého rizika pro práva a svobody fyzických osob.

Soulad zpracování osobních údajů se zásadami GDPR

Každý franchisingový podnik musí být schopen stanovenou odpovědnost za soulad zpracování se zásadami GDPR vždy prokázat. K tomu mají napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování.

Kodexy mají správcům, zejména na sektorové úrovni, sloužit jako vodítko správné praxe při zpracování osobních údajů právě s ohledem na specifičnost daného sektoru (např. bankovnictví, telekomunikace, internetové obchody, zdravotnictví). Osvědčení má sloužit k prokázání souladu zpracování s GDPR. Správci jsou povinni vést záznamy o činnostech zpracování obsahující informace o prováděném zpracování. To umožní správci lehčí orientaci ohledně zpracování, která provádí. Někteří správci jsou vyňati z nutnosti vést tyto záznamy.

Dokládání souladu zpracování však nelze omezit pouze na shora uvedené možnosti, ale dokládání souladu je komplexní činnost, zahrnující dílčí činnosti, mezi které lze zařadit nejen shora uvedené kodexy, osvědčení a záznamy o činnostech zpracování, ale například i zveřejňování informací, které GDPR ukládá správci zveřejňovat, vyhotovení vnitřních předpisů, proškolení zaměstnanců až po řádnou spolupráci s příslušným dozorovým úřadem.

Kodexy a osvědčení

Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat kodexy chování nebo tyto kodexy upravovat či rozšiřovat s cílem upřesnit uplatňování GDPR.

Zejména jde o spravedlivé a transparentní zpracování; oprávněné zájmy, jež správci v konkrétních situacích sledují; shromažďování osobních údajů; pseudonymizaci osobních údajů; informace poskytované veřejnosti a subjektů údajů; výkon práv subjektů údajů; informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem; opatření a postupy k zajištění bezpečnosti zpracování; ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů; předávání osobních údajů do třetích zemí nebo mezinárodním organizacím; nebo mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním.

Návrh kodexu musí být předložen příslušnému dozorovému úřadu, který vydá stanovisko, zdali je daný kodex, či návrh na jeho změnu, v souladu s GDPR a pokud shledá, že ano, schválí jej. Schváleným kodexem se pak můžou řídit správci v daném sektoru.

Osvědčení o souladu zpracování bude moci vydávat k tomu akreditovaný subjekt. V současné době probíhají práce na stanovení formy a postupů pro akreditaci a pro vydávání osvědčení o ochraně údajů a zavedení pečetí a známek dokládajících ochranu údajů pro účely prokázání souladu s GDPR. Mají se přitom zohlednit specifické potřeby mikropodniků a malých a středních podniků.

Osvědčením se ale nesnižuje odpovědnost správce nebo zpracovatele za soulad s GDPR.

Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení nebo příslušný dozorový úřad uvedené osvědčení odeberou.

Nové povinnosti podle GDPR

Základní zásady a principy zakotvené v zákoně č. 101/2000 Sb., o ochraně osobních údajů zůstávají ve své podstatě nezměněny. GDPR je pouze podrobněji rozpracovává a zpřesňuje s ohledem na rozmach technologického rozvoje a globalizaci, přičemž stanoví správcům a zpracovatelům osobních údajů zejména tyto nové povinnosti:

  • povinnost vést záznamy o činnostech zpracování
  • posouzení vlivu na ochranu osobních údajů
  • předchozí konzultace s dozorovým úřadem
  • ohlašování případu porušení zabezpečení osobních údajů dozorovému úřadu
  • oznamování případu porušení zabezpečení osobních údajů subjektu údajů
  • ustavení pověřence pro ochranu osobních údajů

Kromě povinnosti vést záznamy o činnostech zpracování a ustanovit pověřence, jsou ostatní nové povinnosti založeny na přístupu založeném na riziku. Jejich uplatnění je vázáno na přítomnost rizika či vysokého rizika pro práva a svobody subjektu údajů. Pro určitá zpracování, resp. určité subjekty, je povinností ustanovit pověřence pro ochranu osobních údajů.

Záznamy o činnostech zpracování

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla GDPR zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi. Tyto záznamy následně umožní správci prokázat soulad zpracování s GDPR.

Vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob. To neplatí, jde-li o zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů musí provést správce, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude představovat vysoké riziko pro práva a svobody fyzických osob. Posouzení se musí provést před započetím předmětného zpracování. Pokud byl ustanoven pověřenec pro ochranu osobních údajů, vyžádá si správce jeho posudek.

Posouzení vlivu na ochranu osobních údajů se vyžaduje především u systematického a rozsáhlého vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky; u rozsáhlého zpracování zvláštních kategorií údajů nebo rozsudků v trestních věcech; nebo u rozsáhlého systematického monitorování veřejně přístupných prostorů.

Konzultace s dozorovým úřadem

Správce je povinen konzultovat zpracování osobních údajů s dozorovým úřadem tehdy, pokud z posouzení vlivu na ochranu osobních údajů vyplyne, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika. Účelem předchozí konzultace je tak korigovat hrozící vysoké riziko.

Autor: JUDr. David Karabec

Společnost JUDr. David KARABEC, s.r.o., IČO: 06078052,
se sídlem Na Spojce 610/6, 101 00 Praha 10,
zapsaná v obchodním rejstříku Městského soudu v Praze, oddíl C, vložka 275705,
je specializovanou konzultační a poradenskou společností se zaměřením na ochranu autorských a průmyslových práv.
Společnost se zaměřuje i na školení, vzdělávací akce, překladatelskou a publikační činnost v oblasti ochrany duševního vlastnictví pro širokou veřejnost – www.karabec.cz/specializovana-konzultacni-spolecnost/.


Jinde na Internetový časopis pro podnikání a franchising


HLAVNÍ PARTNEŘI