Nařízení (EU) 2016/679 (General Data Protection Regulation) stanoví nová pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla týkající se volného pohybu osobních údajů (dále jen „GDPR“). Toto nařízení chrání základní práva a svobody fyzických osob, zejména jejich právo na ochranu osobních údajů při zachování volného pohybu osobních údajů, a dotýká se rovněž i všech franchisingových systémů. GDPR představuje jednotný právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů EU a reaguje na nové výzvy dané technologickým rozvojem a globalizací, kdy rozsah shromažďování a sdílení osobních údajů významně vzrostl. GDPR je přímo závazné pro území celé Evropské unie dnem nabytí jeho účinnosti, tj. dnem 25. května 2018.
GDPR se vyznačuje novými přístupy, na kterých je ochrana osobních údajů založena. Jedná se zejména o princip odpovědnosti správce a o přístup založený na riziku. Princip odpovědnosti znamená odpovědnost správce za dodržení zásad zpracování osobních údajů podle GDPR, přičemž správce musí být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování. Přístup založený na riziku znamená, že správce již od počátku musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů.
Každý franchisingový podnik, jakožto správce osobních údajů, je povinen zabezpečit osobní údaje bez ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Je proto je důležité, aby každý franchisingový systém přijal jednotná pravidla a zásady, které bude ve své síti dodržovat, aby tak pro svůj systém zajistil plnou kompatibilitu s GDPR.
Z iniciativy Franchise & Retail Academy s.r.o. a ve spolupráci s konzultační a poradenskou společností JUDr. David KARABEC, s.r.o. vznikla speciální příručka pro franchisingové podniky. Tato příručka je rozdělena do čtyř částí, kdy první část obsahuje srozumitelný výklad Nařízení (EU) 2016/679 s uvedením příkladů z praxe, je opatřena také přehledem relevantních právních předpisů, informací EU a dalších zdrojů, včetně kontaktů na příslušný dozorový úřad.
Druhá část je pak zaměřena na vlastní analýzu zpracování osobních údajů (checklist), přičemž účelem vyplnění tohoto checklistu je provedení analýzy odpovědnosti a rizik každého franchisingového podniku podle GDPR. Cílem vyplnění tohoto checklistu je zjistit, jak franchisingový podnik nakládá s osobními údaji a jaká je nutné přijmout opatření pro dosažení souladu s GDPR. Uživatele příručka aktivně vede k tomu, aby v případě absence určitého opatření přijal nápravu k dosažení plné slučitelnosti k GDPR.
Třetí a čtvrtá část příručky pak obsahují vzorové texty, které jsou zpracovány tak, aby je franchisingový podnik mohl rovnou převzít do svých provozních příruček. Do těchto částí jsou zařazeny jak základní definice nejdůležitějších pojmů, zejména zásady zpracování osobních údajů, práva subjektů údajů, technické zabezpečení osobních údajů a další povinnosti franchisingových podniků, tak i zcela konkrétní vzory dokumentů pro jejich okamžité použití. Patří sem zejména vzory souhlasu subjektu údajů, dále ohlášení dozorovému úřadu a oznámení subjektu údajů v případě porušení zabezpečení osobních údajů, směrnice o ochraně osobních údajů a informace o zpracování a přístupu k osobním údajům.
JUDr. David Karabec
Comentarios