V pátek 3. listopadu proběhl seminář Ochrana osobních dat, který pořádala Italsko-česká obchodní a průmyslová komora ve spolupráci s advokátní kanceláří bpv BRAUN PARTNERS. Seminář vedly advokátky kanceláře bpv BRAUN PARTNERS Gabriela Jiráková a Lucie Kalašová.
Hlavním tématem semináře byla nová evropská úprava ochrany osobních dat známá pod zkratkou GDPR. Nová úprava vstoupí v účinnost 25. května příštího roku a bude platit přímo ve všech členských zemích. Tímto odpadá nutnost transpozice do českého zákona. „GDPR plně nahradí předchozí evropskou směrnici o ochraně osobních dat, některé hlavní zásady z předchozí směrnice ale GDPR přejímá, takže se nedá mluvit o zásadní revoluci“, uvedl na semináři advokátka Gabriela Jiráková, jež je i členkou Pracovní skupiny ochrany osobních dat při Úřadu Vlády ČR.
Jednou z hlavních novinek nových evropských pravidel je zvýšení sankcí, což má přimět firmy k větší opatrnosti v nakládání s osobními daty. GDPR počítá s pokuty v hodnotě až dvacet milionů eur či čtyř procent z celosvětového obratu skupiny. V současné době pokuty dosahují hodnoty, maximálně, jednotek milionů korun. I z tohoto důvodu se firmy začínají implementací GDPR čím dál více zajímat „Celé GDPR je založeno na přístupu založeném na riziku. To znamená, že správce osobních údajů musí sám vyhodnotit svou situaci a rizika a zvolit taková opatření, aby předcházel možným škodám“, vysvětluje advokátka Jiráková. Firmy by se proto měly podrobně seznámit s novými pravidly a vytvořit projektový tým, který bude celý proces řídit a to i za pomoci externích poradců. Následovat by měl vnitřní audit „Každá firma musí zjistit, jaké údaje sbírá, a vytvořit si mapu procesů zpracování sesbíraných osobních dat. Sesbírání dat a vytvoření mapy procesů je nejnáročnější fází celého procesu“, vysvětlila advokátka Jiráková. Ve fázi implementace by se tým měl zaměřit na revizi právních dokumentů souvisejících s ochranou osobních dat a na nové nastavení vnitřních procesů, tak aby vyhovovaly právní úpravě a minimalizovaly riziko zneužití osobních údajů.
GDPR přináší celou řadu nových institutů, se kterými firmami musí počítat. „GDPR se sestavovalo tak, že se často přebíraly jednotlivá pravidla a instituty z již existujících praxí v jednotlivých evropských zemích“, uvádí advokátka a specialistka na tuto oblast Lucie Kalašová. Mezi novými instituty najdeme, například, pověřence pro ochranu osobních údajů, jehož hlavní funkcí je monitoring procesů zpracování osobních dat, sbírání podnětů a komunikace s dozorovým Úřadem pro ochranu osobních údajů, kterému společnost musí nahlásit jméno a kontaktní údaje na pověřence. „Je také velice důležité, aby pověřenec byl dostupný“, podotkla advokátka Lucie Kalašová. Funkci může zastávat zaměstnanec či externista. Pověřenec musí mít dostatečné odborné znalosti a zdroje pro plnění svých úkolů. Co se týče kvalifikace, není vyžadována minimální úroveň vzdělaní ani specifické certifikáty. „Dále musí být pověřenec nezávislý. V případě, že se jedná o zaměstnance, to znamená, že ho zaměstnavatel nemůže úkolovat v činnosti pověřence a současně ostatní jeho aktivity nesmí být ve střetu zájmu s aktivitou pověřence“, dodala advokátka Kalašová.
GDPR zasáhne do mnoha oblastí fungování firem. Kromě osobních údajů zákazníků či smluvních partnerů, se pravidla vztahují i na osoby v pracovněprávním vztahu, a to i ve fázi před a po pracovním poměru. „Bez explicitního souhlasu firmy nesmí uchovávat životopisy neúspěšných uchazečů“, uvádí jeden z příkladu advokátkaKalašová. Nejedná se však o úplnou novinku, již současná legislativu tuto praxi zakazuje. Firmy by měly o svých zaměstnancích sbírat a uchovávat jen údaje nutné pro uzavření pracovní smlouvy a pro výkon práce. „Mezi tyto údaje nepatří, například, rodné číslo nebo lékařská zpráva. Zaměstnavatel nesmí ani shromažďovat údaje o sexuální orientaci, politických názorech či členství v odborech svých zaměstnanců“, poukazuje advokátkaKalašová. Uchovávání údajů po ukončení pracovního vztahu by pak mělo odpovídat především povinnostem, které pro firmy vyplývají z jiných zákonů (např. o účetnictví či archivnictví). V případě, že se bývalý zaměstnanec s firmou soudí, společnost má možnost uchovat i údaje, které může využít ve sporu.
Seminář poukázal na komplexitu implementace GDPR, a to i z toho důvodu, že mnohé firmy nesplňují ani náležitosti vyžadované současnou legislativou. „Na přípravu je za dvě minuty dvanáct“, uvádí advokátka Jirákovas tím, že analýza a implementace řešení mohou být zdlouhavé, a to i v souvislosti s velikostí firmy.
Zdroj: Camic
Zdroj fotografia: Camic
