Jak je to ve skutečnosti s ochranou osobních údajů
03.11.2017
Média často poukazují na novou povinnost, kterou nařízení GDPR ukládá veřejným i soukromým subjektům, a tou je vypracování tzv. záznamů o činnostech zpracování. Tyto záznamy o činnostech zpracování musí obsahovat mimo jiné jméno spolu s kontaktními údaji správce (kterým může být jak veřejná instituce, tak soukromý podnik), účel zpracování dat, popis kategorií subjektů údajů a kategorií zpracovávaných osobních údajů nebo informace o případném předávání osobních údajů do zahraničí. Vypracování záznamů o činnostech zpracování může osoba povinná provádět sama nebo může tuto povinnost přenést na jiného zpracovatele.
Dle článku 30 nařízení GDPR jsou z této povinnosti vyňaty podniky nebo organizace zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Problémem může být výklad této výjimky. Podle výkladu Úřadu pro ochranu osobních údajů však absolutní většina případů zpracování osobních údajů není „příležitostná“. Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky? Dosavadní výklady ke GDPR v tomto ohledu zatím jasné vodítko neposkytují, musíme tedy vyčkat na reálnou aplikaci tohoto nařízení (nabude účinnosti v květnu 2018), případně jeho konkrétnější výklad.
Dalším oblíbeným strašákem médií je „zaměstnání pověřence pro ochranu osobních údajů“. Ve skutečnosti se nejedná o povinnost zaměstnat zcela nového zaměstnance, který se bude zabývat pouze agendou osobních údajů a jejich zpracování, ale o jeho „jmenování“ podle článku 37 nařízení GDPR. Povinnost tohoto pověřence jmenovat nastává v případě, že zpracování provádí orgán veřejné moci či veřejný subjekt nebo jeho hlavní činnosti osoby spočívá ve zpracování, které z důvodu své povahy, rozsahu či účelům vyžaduje rozsáhlé monitorování údajů nebo činnost osoby spočívá v rozsáhlém zpracování zvláštních kategorií údajů. Ostatní správci pověřence jmenovat nemusí (ale mohou).
Některé další povinnosti uvedené v nařízení (zajistit právo být zapomenut, právo na opravu údajů, právo na přenositelnost údajů, právo na omezení zpracování v určitých případech, zabezpečení údajů, oznamování případů porušení tohoto zabezpečení) se budou vztahovat i na malé a střední podniky.
S určitými výjimkami se tedy nařízení GDPR týká každého, kdo zpracovává osobní údaje bez ohledu na to, zda se jedná o právnickou či fyzickou osobu.