Pro celé pochopení problematiky osobních údajů je pro každého nezbytné si nejprve uvědomit základní zásady týkající se zpracování osobních údajů, na kterých nařízení stojí. Především vždy platí, že osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem. Rovněž nesmíte opominout, že osobní údaje musí být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být zpracovávány způsobem, který je s těmito účely neslučitelný. Jinými slovy, nelze zpracovávat osobní údaje pro jiný účel. S účelem velmi úzce souvisí i rozsah zpracování, protože osobní údaje musí být z hlediska rozsahu zpracovávány vždy přiměřeně k účelu. Z toho plyne, že například pro internetovou marketingovou akci není nejspíše potřeba shromažďovat rodná čísla subjektů údajů či čísla jejich občanských průkazů. Současně mějte na paměti, že uložení osobních údajů je nezbytné ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je to nezbytné pro účely, pro které jsou zpracovávány. Jakmile účel pomine, neexistuje proto důvod mít data dále uložena. Není asi potřeba dodávat, že osobní údaje musí být zpracovány vždy přesně a bez chyb a v případě potřeby je nutné je aktualizovat. Proto platí, že osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, musí být bezodkladně vymazány nebo opraveny.

V neposlední řadě zbývá dodat, že nařízení klade důraz na náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným zpracováním nebo třeba před ztrátou, zničením nebo poškozením. Možná se vám tyto zásady mohou zdát jako banální a říkáte si, že je to jednoduché. V praxi to už bohužel není úplně pravda a je tomu potřeba přizpůsobit veškeré faktické procesy včetně případných úprav informačních systémů a navazující vnitropodnikové normy. Sankce v podobě 20 milionů eur nebo 4 % celosvětového obratu podniku vás určitě přesvědčí o tom, že se tomu věnovat budete. Nadto je potřeba podotknout, že výše zmíněné principy představují pouze střípek z nové právní úpravy a celé nařízení pak na těchto zásadách staví naprosto nové instituty, které doposud naše česká právní úprava neznala.

Z hlediska interakce se subjektem osobních údajů může být určitou novinkou právo subjektu údajů na přenositelnost jeho údajů. Toto právo zaručuje subjektu údajů požadovat své osobní údaje za účelem předání jinému správci. Subjekt údajů má též detailně upravené právo na omezení zpracování jeho osobních údajů, například v případě popírání přesnosti jeho osobních údajů. Rovněž je velmi podrobně upraven institut námitky subjektu údajů.

Úplnou novinkou, která bude výrazně zatěžovat podniky či organizace zaměstnávající 250 a více osob (a v některých případech dokonce i podniky či organizace zaměstnávající méně osob), je povinnost vést záznamy o činnostech zpracování. V určitých případech, například při využití nových technologií, které představují vysoké riziko pro práva a svobody fyzických osob, je povinností správce provést tzv. posouzení vlivu na ochranu osobních údajů. Pokud z takového posouzení vyjde najevo, že dané zpracování by mělo za následek vysoké riziko, pak je správce dokonce povinen vést s dozorovým úřadem předchozí konzultace. Další významnou novinkou je nový institut pověřence pro ochranu osobních údajů, který musí být v určitých případech jmenován správcem či zpracovatelem. Typicky se může jednat o případ, kdy hlavní činnosti správce či zpracovatele spočívají v operacích vyžadujících rozsáhlé, pravidelné a systematické monitorování subjektu údajů.

Nařízení též myslí na hlášení porušení zabezpečení, kdy v určitých případech vznikne povinnost ohlašovat porušení zabezpečení osobních údajů dozorovému úřadu do 72 hodin od okamžiku, kdy se o něm správce dozví. Obdobně je tato ohlašovací povinnost stanovena vůči subjektu údajů, zde s lhůtou "bez zbytečného odkladu".

Z výše uvedeného plyne, že je proto nezbytné se zaměřit na současné faktické procesy v rámci podniku, zamyslet se nad fungováním informačních systémů a nastavit správné kodexy chování, směrnice a jiné vnitropodnikové normy. K tomu je zapotřebí si nejprve uvědomit rozsah a předmět nové právní regulace, například v rámci školení, a následně provést detailní vnitropodnikovou "inventuru", která zmapuje současné procesy a připraví je na možnou úpravu, aby podnik dosáhl na komplexní soulad s nařízením.

Pokud se rozhodnete udělat vše pro to, aby vaše společnost byla "GDPR compliant", nezapomeňte též na úzce provázaná opatření v oblasti kybernetické bezpečnosti (podle zákona č. 181/2014 Sb., o kybernetické bezpečnosti v novelizovaném znění), rovněž na otázku elektronické identity (dle nařízení Evropského parlamentu a Rady EU č. 910/2014 - eIDAS) a koneckonců na vše, co souvisí s otázkou trestní odpovědnosti právnických osob (dle zák. č. 418/2011 Sb, o trestní odpovědnosti právnických osob a řízení proti nim včetně poslední velmi aktuální novely). Komplexní přístup je sice náročnější a nákladnější, nicméně pouze ten vám dá jistotu, že jste na novodobé výzvy a rizika dobře připraveni!

Ivan Langer, Advokátní kancelář Pečený, Fučík, Langer