GDPR - úvod do problematiky
Mgr.
Alice
Frýbová,
právnička z Holubová advokáti, s. r. o., specialistka na ochranu osobních údajů
RNDr. Ing.
Eva
Urbanová,
lektorka, Centrum školského managementu PedF UK
1. Co je to GDPR?
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zpravidla zkracované na
obecné nařízení o ochraně osobních údajů
nebo GDPR (General Data Protection Regulation), je dosud nejucelenějším souborem pravidel na ochranu osobních údajů na světě.2. Co znamená, že GDPR je evropské nařízení?
Evropské nařízení je právní předpis schválený na půdě Evropské unie, který je
závazný pro všechny státy Evropské unie
. Na rozdíl od častější směrnice však není potřeba jeho implementace do jednotlivých právních řádů členských států, jelikož evropské nařízení je
aplikovatelné automaticky
bez dalšího. Evropské nařízení se použije přednostně před českými zákony. V České republice tak nahradí současnou právní úpravu ochrany osobních údajů v podobě zákona č. 101/2000 Sb., o ochraně osobních údajů. Zákon o ochraně osobních údajů bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou obecným nařízením upraveny nebo které obecné nařízení umožňuje upravit na vnitrostátní úrovni.3. Dotkne se GDPR mé organizace?
GDPR
se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje
Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji fyzických osob, ať již zaměstnanců, žáků, studentů, zákazníků, klientů, nebo jiných. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu při používání chytrých technologií.
Nezáleží na tom, jestli je organizace soukromá, nebo veřejná. GDPR se vztahuje na obě dvě. Veřejným subjektům ukládá zpravidla více povinností než soukromým. Školy a školská zařízení jsou veřejnými subjekty a vedle toho sbírají velké objemy osobních údajů o žácích a nezanedbatelný objem osobních údajů o zaměstnancích. Není tedy pochyb o tom, že se budou muset podřídit nové úpravě GDPR.
3. Odkdy je GDPR závazné?
GDPR začne v celé EU platit jednotně
od 25. května 2018
. Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy vstoupí v platnost, je určeno přípravě.
Do května 2018 by tedy školy a školská zařízení měly upravit své procesy a dát je do souladu s GDPR.
4. Co hrozí za nedodržení GDPR?
GDPR umožňuje ukládat
vysoké sankce za porušení nakládání s osobními údaji
. Zatímco současný zákon o ochraně osobních údajů stanovil maximální výši pokuty na 10 milionů korun, GDPR umožňuje uložit sankci
až do výše 20 milionů eur
, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
Relevantní
částka pro školy a školská zařízení je tak 20 milionů eur.GDPR nicméně umožňuje členským státům přijmout odlišnou vnitrostátní úpravu, která pozmění možnosti ukládání správních pokut orgánům veřejné správy, čehož Česká republika hodlá využít. Ministerstvo vnitra zveřejnilo v druhé polovině srpna návrhy zákona o zpracování osobních údajů a doprovodného zákona, ve kterých navrhuje snížit maximální výši pokuty na 10 milionů korun, což je částka shodná se současnou maximální výší pokuty. Pokud bude zákon schválen do 25. května 2018 v této podobě, zůstane maximální výše pokuty pro školy a školská zařízení 10 milionů korun.
5. Kdo provádí kontrolu a ukládá správní sankce?
Příslušným
orgánem pro provádění kontrol a ukládání pokut je
stejně jako doposud
Úřad pro ochranu osobních údajů
(ÚOOÚ). Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů. Evropský sbor pro ochranu osobních údajů bude plnit především koordinační funkci a dohlížet na to, že GDPR je uplatňováno v celé EU stejným způsobem.Provádění kontrolních řízení se bude řídit samotným GDPR a dále vnitrostátními předpisy, tedy zejm. kontrolním řádem.
6. Kdo je to pověřenec pro ochranu osobních údajů?
V souvislosti s GDPR se často mluví o tzv. pověřenci pro ochranu osobních údajů. Ačkoliv se pověřencem budeme detailně zabývat v dalších číslech časopisu, sluší se podotknout, že
každá škola bude muset mít svého pověřence na ochranu osobních údajů
. Proto je také nejvyšší čas začít hledat tuto osobu, která by měla mít dobré znalosti práva na ochranu osobních údajů, znalosti IT a znalosti procesů v organizaci, pro kterou činnost pověřence vykonává.7. Kdy bychom se jako organizace měli začít připravovat?
Jelikož je úprava velmi komplexní, není záhodno s přípravou otálet. Jako první krok doporučujeme, aby se sami ředitelé a zástupci ředitelů začali GDPR zabývat. Až se v úpravě zorientují, měli by informovat své kolegy o tom, co je v oblasti ochrany osobních údajů čeká a nemine. Vhodným opatřením je též stanovení konkrétní osoby v rámci organizace, která se bude přípravou na GDPR pro danou školu či školské zařízení zabývat. Zřizovatelé by měli vyčlenit z rozpočtu finanční prostředky na příští rok, jelikož implementace a výkon činnosti pověřence na ochranu osobních údajů se neobejde bez adekvátní finanční podpory.