English version
Oznamovací povinnost
Oznamovací povinnost tak, jak jej znal zákon o ochraně osobních údajů, již GDPR neobsahuje. Namísto ní přichází se záznamy o činnostech a dále posuzování vlivu na ochranu osobních údajů, je-li to potřeba.
GDPR ale rozeznává i situace v případě, dojde-li k narušení bezpečnosti údajů. Za tímto účelem vydal Evropský sbor pro ochranu osobních údajů pokyny. Zpracovatel musí v těchto případech ohlásit únik nebo ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od okamžiku, kdy se o nebezpečí dozvěděl. V oznámení musí být popsána povaha porušení zabezpečení, pravděpodobné následky, opatření přijatá k minimalizaci těchto následků a dále musí obsahovat kontaktní údaje na pověřence pro ochranu osobních údajů, byl-li ustaven.
V některých situacích bude muset sdělit únik také osobám a subjektům, jichž se týkal. Této povinnosti se může správce zprostit použitím předběžných opatření, která činí osobní údaje nečitelnými. Nastane-li porušení zabezpečení u zpracovatele, nahlásí jej správci, pro něhož údaje zpracovává.
Záznamy o činnostech
Záznamy o činnostech přebraly v určité podobě úlohu oznamovací povinnosti. GDPR ukládá správcům a zpracovatelům povinnost vést si o některých informacích záznamy. Formu zpracování ponechává volně na úvaze zpracovatelů a stanovuje pouze formální minimum. Povinnost konzultovat zpracování osobních údajů s Úřadem pro ochranu osobních údajů zůstává zachována v případě, kdy z posouzení vlivu na ochranu osobních údajů vyplyne, že i v případě, kdy bylo přijato opatření ke zmírnění rizika, dané riziko stále přetrvává.
GDPR uvádí také subjekty, které povinnosti vést záznamy o činnostech nepodléhají. Jedná se o podniky nebo organizace s méně než 250 zaměstnanci včetně zaměstnanců na základě dohod konaných mimo hlavní pracovní poměr, ledaže by dané zpracování představovalo riziko pro práva a svobody subjektů údajů, takové zpracování není pouze příležitostné, nebo zahrnuje zvláštní kategorie údajů či osobní údaje ohledně rozsudků v trestních věcech.
Úřad pro ochranu osobních údajů (ÚOOÚ)
Gestorem v oblasti ochrany osobních údajů je Ministerstvo vnitra ČR. Pokud se Ministerstvo vnitra ČR dopustí pochybení se systémovým přesahem, následnou kontrolu pak vykonává Úřad pro ochranu osobních údajů. Postavení a působnost ÚOOÚ jsou upraveny v článcích 55 až 59 GDPR a dále v § 50 až 60 zákona č. 110/2019 Sb., o zpracování osobních údajů. Jeho základy ovšem zakotvuje již primární právo EU.
Podle již zrušeného zákona o ochraně osobních údajů vykonávali kontrolní činnost inspektoři. GDPR s touto funkcí již nepočítá a zachovala pouze funkci předsedy jmenovaného prezidentem na návrh Senátu Parlamentu České republiky na dobu 5 let a dvou místopředsedů, které na návrh Úřadu volí a odvolává Senát Parlamentu České republiky. Zákon o zpracování osobních údajů stanoví další podmínky pro výkon těchto funkcí.
ÚOOÚ je nezávislým ústředním správním úřadem se sídlem v Praze, který vykonává dozor v oblasti ochrany osobních údajů. Do činnosti Úřadu lze zasahovat pouze na základě zákona. Jeho činnost je hrazena ze samostatné kapitoly státního rozpočtu České republiky.
Úřad má napravovat chyby vzniklé při zpracování osobních údajů správci nebo zpracovateli. V rámci této nápravy ověřuje zákonnost zpracování osobních údajů na podnět subjektů údajů, přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení, projednává přestupky a ukládá pokuty, poskytuje konzultace v oblasti ochrany osobních údajů, informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů a vykonává další působnost stanovenou mu zákonem.
Jeho činností není náprava každého porušení ochrany soukromí, nýbrž pouze takového, které vzniklo následkem nedostatečné ochrany osobních údajů se systémovým přesahem, tedy takovým, z něhož bude mít prospěch více subjektů údajů.
Úřad si při výkonu své činnosti zakládá na transparentnosti. Za tímto účelem zpracovává a zpřístupňuje veřejnosti výroční zprávu o své činnosti. Účastní se rovněž legislativního procesu ohledně otázek týkajících se zpracování osobních údajů.
Zajišťuje plnění závazků z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů EU a v neposlední řadě se podílí na činnosti Evropského sboru pro ochranu osobních údajů a spolupracuje s úřady jiných států, orgánů Evropské unie a mezinárodních organizací s působností v oblasti ochrany osobních údajů.
Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner DKS LEGAL.
