10 změn GDPR na které je třeba se připravitGeneral Data Protection Regulation, neboli GDPR je ve své podstatě nařízení EU, jež pojednává o ochraně osobních údajů. GDPR se vztahuje nejen na každou firmu v rámci Evropské unie, ale také na státní organizace. V tomto článku se věnujeme hlavním změnám ve zpracování osobních údajů v obecné rovině, konkrétní dopady pro hráče online casina a jak hrát bezpečně jste si na našem webu již mohli přečíst.
10 klíčových nařízení o ochraně osobních údajů
Připravili jsme pro vás seznam nejdůležitějších klíčových změn v GDPR, jejichž dopad v problematice ochrany osobních údajů pocítíte v praxi nejvíce.
1. Evidence osobních údajů
Původně musel každý předmětný subjekt místně příslušné orgány o zpracování osobních údajů informovat. Taková regulace však byla obecně vnímána jako zbytečně komplikovaná a „díky“ nabubřelé byrokracii představovala silnou zátěž zejména pro firmy působící na více zahraničních trzích. Toto pravidlo nahradilo nové, které říká že organizace musí vést záznamy o veškerých činnostech, kde se zpracovávají osobní data. Jinými slovy – organizace musí ze zákona evidovat veškerá zpracovávaná osobní data a zároveň byl definován minimální rozsah informací, jež by v evidenci neměly chybět.
2. Rozšíření místní působnosti
Podmínka místní působnost byla také pozměněna ve smyslu svého rozšíření, jež se vztahuje na organizace jejichž sídlo není v Evropské unii, ale v rámci EU nabízí zboží či služby. V praxi to znamená, že všechny organizace jež cílí na EU spotřebitele na internetu v podobě služeb či zboží, musí rovněž dodržovat legislativu EU týkající se ochrany osobních údajů místních občanů.
3. Přenositelnost osobních údajů
Obecně můžeme konstatovat, že směrnice o ochraně osobních údajů posílilo práva fyzických osob (FO), jež dohlíží na své osobní údaje. Stavebním pilířem je tak zcela nové právo – udělené FO – na přenositelnost osobních údajů. Fyzická osoba díky tomuto může přenášet své osobní údaje z jedné organizace do další, čímž se vysvětluje pojem „přenositelnost“. Takové osobní údaje musí fyzické osobě být poskytnuty ve strukturovaném a běžně používaném + čitelném formátu. Předpisy rovněž říkají, že pokud jen to je technicky možné, měly by oslovené organizace na žádost FO usnadnit předání osobních údajů elektronickou formou ostatním organizacím. Očekáváme, že dopady tohoto předpisu mohou být pro zúčastněné organizace zásadní, jelikož agenda spojená vydáváním kopií veškerých osobních údajů může narůst do obřích rozměrů a podnikové systémy se mohou jednoduše zahltit.
4. Zpracovatelé osobních údajů
Obecná regule přináší pro zpracovatele osobních údajů, jež zpracovávají osobní údaje pro jinou organizaci, výrazné změny. Podle starých pravidel spadala povinnost dodržování předpisů na ochranu soukromí na správce, tedy klienty. Nově však vznikly povinnosti i pro samotné zpracovatele. Soubor těchto zákonných předpisů stanovuje přímo povinnost také pro zpracovatele, jež nesou odpovědnost. Pod takovou odpovědností si můžeme představit např. nutnost jmenování pověřence pro ochranu osobních údajů a následné vedení záznamů o veškerých činnostech zpracování vykonávaných pro klienty. Nadstavbu potom představují ještě dohledové orgány, které se mohou na zpracovatele obracet s dotazy či žádostmi napřímo. Tento bod by měl zajistit vyrovnaný poměr pravomocí mezi správci a zpracovateli.
5. Ohlašovací povinnost při porušení zabezpečení osobních údajů
Všichni chápeme, že zabezpečení osobních údaje je naprosto klíčové. Všechny zúčastněné subjekty, které přijdou s osobními údaji do kontaktu, musí zajistit jejich naprostou bezpečnost proti zcizení, ztrátě či neoprávněnému přístupu. Nové nařízení jež definuje ochranu osobních údajů tak obsahuje také ustanovení o podmínce ohlášení porušení zabezpečení osobních údajů. Každý subjekt tak nově musí ohlásit narušení zabezpečení osobních údajů patřičnému dozorovému úřadu – a to max. do 72 hodin. V případě že existuje riziko ohrožení soukromí dotčených FO, měly by tyto osoby být, o porušení zabezpečení, informovány také.
6. Nárok na výmaz osobních údajů
Velmi často vymáhaným nárokem bude dle našeho názoru právo na výmaz svých osobních údajů. Tento bod byl v minulosti velmi diskutován prakticky ve všech členských zemích EU. Právo na výmaz osobních údajů již totiž existovalo ve stávající směrnici o ochraně osobních údajů, nicméně GDPR jej ještě více posiluje. Nová legislativa tak stanovuje pravidlo výmazu veškerých osobních údajů, pokud dojde ke splnění alespoň jedné že 6 podmínek výmazu. Takovou podmínkou je například nezákonné zpracování osobních údajů, které došlo na základě dříve poskytnutého souhlasu se zpracováním.
7. Posouzení vlivu na ochranu osobních údajů
GDPR ve svém těle rovněž zavádí institut posuzování vlivu na ochranu osobních údajů (DPIA). Tento prvek slouží jako prostředek k identifikaci závažných rizik při porušení práv FO na soukromí, které vzniklo při zpracování osobních údajů. V případě výskytu takového rizika směrnice předpokládá, že dotčený subjekt nastaví opatření, jež bude směřovat k danému riziku. Zmíněné posouzení by mělo dojít před začátkem zpracování osobních údajů. Dalším předpokladem je zaměření se na otázky formou systematického popisu činnosti zpracovávání, nebo potřeba přiměřenosti postupu zpracování. Jelikož povinnost posouzení vlivu na ochranu osobních údajů (DPIA) velmi podobá již platné činnosti posuzování dopadu na soukromí (PIA), tak nezanedbatelný počet institucí tuto povinnosti již plní.
8. Kryptování dat
Správnost údajů, důvěrnost, dostupnost a durabilita systémů na zpracování osobních údajů byla vždy součástí právních předpisů o ochraně soukromí. GDPR se ale nově zasadilo o pseudonymizaci a kryptování těchto osobních údajů. Tyto bezpečnostní opatření považujeme pro ochranu uživatelů za velmi důležitá. Dalším prvkem je důraz na skutečnost, že se nejedná o rizika kterým čelí samotná organizace, nýbrž rizik jež se týkají práv a svobod FO – jedná se tedy o rizika narušení soukromí konkrétní fyzické osoby.
9. Sankce a pokuty
Zdaleka nejdiskutovanějším prvkem GDPR je část týkající se sankcí či penále. Směrnice o ochraně dat uváděla pouze na jednom místě, že sankce musí být stanoveny jednotlivými členskými zeměmi. Obecně nařízení také říká, že v případě porušení ustanovení Obecného nařízení, mohou padat správní pokuty. Maximální výše pokut je potom závislá na charakteru porušení – za méně závažné přešlapy hrozí pokuta do max. výše 10 mil. eur či 2% z celkového obratu za předchozí rok. Bude platit ta částka, která bude vyšší. V případě závažných přestupků se pokuta může vyšplhat až do výše 20 mil. EUR, nebo 4% celkového celosvětového obratu.
10. Jednotné kontaktní místo
Poslední změna kterou jsme do našeho seznamu vybrali představuje částečnou úlevu pro organizace fungující napříč celou EU, jelikož byl nově zřízen mechanismus s jednotným kontaktním místem. Hlavním dozorovým úřadem by tak měl být dozorový úřad členského státu EU, v němž má subjekt zřízen hlavní provozovnu. Vedoucí dozorový úřad je tak primárním úřadem, se kterým budou organizace přicházet do styku. Může se však stát, že do řízení zasáhne místně příslušné orgány. Takové orgány mezi sebou musí vzájemně spolupracovat, dle zavedeného systému GDPR.
Kompletní znění obecného nařízení GDPR se rozkládá na více než 200 stranách. Námi sestavený přehled nejdůležitějších změn proto nelze brát jako kompletní výčet, který však najdete na oficiálním webu.
