Do jaké míry se mám zabývat GDPR nařízením při založení s.r.o.?

9.2.2018

Od května 2018 nabývá účinnosti nařízení (EU) 2016/679, o ochraně osobních údajů, tzv. General Data Protection Regulation, zkráceně GDPR. Nařízení bude jednotné pro všechny členské státy Evropské unie a prakticky nahradí dosavadní národní předpisy na ochranu osobních údajů. V případě České republiky tak např. dojde ke zrušení řady ustanovení zákona o ochraně osobních údajů, neboť je bude ošetřovat nařízení GDPR.

Nařízení GDPR se dotkne velkého množství soukromoprávních i veřejnoprávních subjektů a zasáhne do života velkých i malých firem. Na GDPR by měli myslet také podnikatelé, kteří zvažují založení s.r.o. Při zakládání společnosti by proto měli uvážit, zda bude zakládaná společnost zpracovávat osobní údaje, v jakém rozsahu, o jaký typ osobních údajů se bude jednat a zda uchovávané osobní údaje skutečně potřebuje ke své činnosti. V závislosti na rozsahu zpracovávaných osobních údajů společnosti může vzniknout povinnost registrace u Úřadu pro ochranu osobních údajů.

Zjednodušeně by se dalo říct, že problematikou GDPR by se měli zabývat zejména společnosti, které jsou zakládány za účelem podnikání v oboru služeb, typicky poradenství, marketing či reklama. Na GDPR nařízení by ale neměli zapomínat ani podnikatelé, kteří se budou zabývat výrobou. Také oni nejspíš budou zpracovávat osobní údaje, minimálně v rozsahu osobních údajů svých zaměstnanců.

zdroj: FreeDigitalPhotos.net, autor: hywards

V souvislosti s GDPR nařízení vzniknou nově zakládaným i stávajícím společnostem tyto povinnosti:

ustanovit pověřence pro ochranu osobních údajů,
zjistit, kde všude jsou osobní údaje shromažďovány, ukládány a užívány,
zavést předepsaná pravidla a technická a organizační opatření v oblasti ochrany osobních údajů,
zavést předepsaná opatření pro informovanost, ochranu a služby osobám, jejichž osobní údaje subjekt uchovává či zpracovává,
připravit postupy pro případ porušení zabezpečení osobních údajů včetně implementace nástrojů pro detekci, vykazování příslušnému dozorovému orgánu a upozornění dotčených osob.

Odpovědnost za splnění požadavků nařízení GDPR primárně ponese správce osobních údajů, který musí také důsledně prokazovat soulad zpracování osobních údajů s nařízením GDPR. V případě, že dojde k incidentu, např. k úniku osobních údajů mimo systémy správce, bude správce povinen ohlásit takový incident Úřadu pro ochranu osobních údajů a obeznámit s tímto, v některých případech, také všechny zasažené osoby, a to do 72 hodin od zjištění incidentu.

Další významnou novinkou může pro mnoho společností být právo na vymazání, kdy jednotlivec bude mít právo na odstranění osobních dat. Stejně tak získá uživatel právo na získání dat, která o něm společnost má. Při získávání osobních údajů musí být použitý jazyk jednoduchý a konkrétní a musí specifikovat všechny způsoby využití osobních údajů.