3.6.3.1.18
Mají se o GDPR zajímat podnikoví ekologové?
Ing. Monika Becková
Na první pohled by se mohlo zdát, že se GDPR podnikové ekologie netýká. Ekologové přece pracují s informacemi typu množství a druhy odpadů, charakter používaných chemických látek a směsí, ukazatele znečištění vypouštěných odpadních vod, emise do ovzduší apod. Kde jsou zahrnuty osobní údaje a co tedy mají tyto oblasti společné? To si ukážeme na následujících několika příkladech.
Cílem nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (angl. General Data Protection Regulation neboli GDPR) je zvýšit ochranu osobních dat občanů a sjednotit pravidla jejich ochrany v EU. Stanovuje pravidla pro zpracování osobních údajů).
Má tato problematika nějakou spojitost s oblastí životního prostředí? Měli by se o ni zajímat ekologové?
Abychom odpověděli na tuto otázku, nejprve si připomeňme, co obecně problematika GDPR, resp. ochrany osobních údajů, vlastně zahrnuje.
NahoruCo je GDPR?
Obecné nařízení EU – GDPR - představuje novou etapu ochrany osobních údajů v evropském prostoru. Týká se všech zpracovatelů osobních údajů zaměstnanců, zákazníků, klientů či dodavatelů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU, jinými slovy každého, kdo shromažďuje nebo zpracovává osobní údaje bez ohledu na právní formu.
GDPR bylo přijato v dubnu 2016, účinnosti nabývá 25. května 2018. Období do května 2018, kdy vstoupí v platnost, je třeba využít k přípravě. Během této doby musí všichni, kterých se nařízení týká, provést důkladnou analýzu požadavků GDPR ve vztahu k specifickým procesům a jejich aspektům ve vlastní organizaci, posoudit možná rizika a vlivy na ochranu osobních údajů a učinit nezbytná opatření pro zajištění souladu s požadavky GDPR.
NahoruCo hrozí za porušení požadavků nařízení?
Správní pokuta až do výše 20.000.000 EUR nebo 4 % z celkového ročního obratu celosvětově za předchozí finanční rok (vyšší z obou možností).
NahoruJaké jsou zásadní nové povinnosti organizací?
-
Vést konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
-
Provádět posouzení dopadu na ochranu osobních údajů (rizikových zpracování).
-
Zajistit nezbytnou ochranu dat (zahrnuje technická, organizační a procesní opatření).
-
Jmenovat v určitých případech pověřence pro ochranu osobních údajů (Data Protection Officer – DPO), který provádí monitoring souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádí interní audity, školí pracovníky a celkově řídí agendu interní ochrany dat, případně hlásí možné úniky dat či porušení zákona Úřadu pro ochranu osobních údajů.
-
Vést záznamy o činnostech zpracování osobních údajů včetně technických a bezpečnostních opatření.
-
Ohlašovat porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů.
Některá z výše uvedených opatření se týkají všech organizací, jiná pouze některých.
NahoruNa jakých zásadách je GDPR postaveno?
Obecné nařízení o ochraně osobních údajů je postaveno na tzv. zásadách (viz Obecné nařízení, kapitola II, čl. 5 – Zásady zpracování osobních údajů). Mezi ně patří zásada zákonnosti, která znamená, že správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu. Zásada zákonnosti je dále upřesněna v článku 6 Obecného nařízení. Jinými slovy, zpracování osobních údajů je v tomto smyslu zákonné, pokud existuje nejméně jeden právní důvod zpracování osobních údajů, kdy právní důvody zpracování osobních údajů fakticky znamenají oprávnění správce osobní údaje zpracovávat.
Právní důvody jsou tedy nezbytným předpokladem, aby se vůbec mohlo jednat o legální zpracování osobních údajů správcem údajů. Jedná se, zjednodušeně řečeno, o následující právní důvody:
-
subjekt údajů udělil souhlas;
-
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů (případně pro provedení opatření přijatých před uzavřením smlouvy) – takovým důvodem by např. mohlo být zpracování osobních údajů nezbytných k uzavření pracovní smlouvy;
-
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje – takovým důvodem by např. mohlo být zpracování osobních údajů nezbytných pro povinné úkony v personalistice, jako jsou přihlášky a odhlášky zaměstnanců, agenda BOZP – pracovní právo ukládá zákonné povinnosti, jež vyžadují zpracování osobních údajů, a další, pořizování obrazových záznamů kamerovým systémem pro účely plnění např. zákona o prevenci závažných havárií dle zákona č. 224/2015 Sb. apod.;
-
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
-
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, jako jsou policie, soudy, obecní úřady apod.;
-
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany – např. určitý způsob monitorování elektronické komunikace.
Je tedy potřeba vědět, jaký právní důvod existuje pro zpracování osobních údajů subjektu údajů. Pokud neexistuje důvod ve smyslu písm. b) až f) výše uvedených právních důvodů, je jediným možným zbývajícím právním důvodem souhlas se zpracováním osobních údajů.
Souhlas (viz Obecné nařízení, článek 4 – Definice, odst. 1, bod 11) je "svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů". Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Subjekt údajů má navíc právo svůj souhlas kdykoli odvolat.
NahoruTýká se GDPR opravdu také ekologů?
Možná by se mohlo na první pohled zdát, že nikoli. Ekologové přece pracují s informacemi typu množství a druhy odpadů, charakter používaných chemických látek a směsí, ukazatele znečištění vypouštěných odpadních vod, emise do ovzduší apod. Kde jsou zahrnuty osobní údaje a co tedy mají tyto oblasti společné? To si ukážeme na následujících několika příkladech.
Agendy zpracování osobních údajů ve vztahu k ekologii:
