advokátní kancelář

GDPR

Potřebujete mít ochranu osobních údajů pod kontrolou a chránit svou firmu před riziky, která se neustále vyvíjejí? V advokátní kanceláři ARROWS vám poskytujeme komplexní právní servis v oblasti GDPR, který zajistí vaši právní jistotu a pomůže vám efektivně řešit jakoukoli situaci spojenou s daty. S našimi bohatými zkušenostmi, od přípravy dokumentace až po zastupování při kontrolách a řešení dopadů nových technologií, proměníme vaše právní povinnosti ve strategickou výhodu a posílíme důvěru vašich klientů. Zjistěte, s čím konkrétně vám můžeme pomoci.

(na fotografii tým ARROWS advokátní kancelář)

Proč GDPR z roku 2018 již nestačí? Dynamika ochrany dat v dnešním světě

Mnoho firem se domnívá, že implementací GDPR v roce 2018 jejich povinnosti skončily. Tento přístup „nastav a zapomeň“ je však v dnešním digitálním světě mimořádně rizikový. Právní prostředí ochrany osobních údajů není statické; je to živý organismus, který se neustále vyvíjí v reakci na nové technologie, soudní rozhodnutí a zpřesňující výklady dozorových úřadů.

Právníci z ARROWS se této problematice věnují na denní bázi a pomáhají klientům udržet jejich interní procesy a dokumentaci v souladu s nejnovějším vývojem.

Kromě přelomových rozsudků vydává Evropský sbor pro ochranu osobních údajů (EDPB) i národní úřady, jako je český Úřad pro ochranu osobních údajů (ÚOOÚ), neustále nová stanoviska a metodiky. Tyto dokumenty dále upřesňují povinnosti správců, například v oblasti používání cookies nebo monitoringu zaměstnanců. Co bylo před několika lety považováno za dostatečné, dnes již nemusí obstát při kontrole.

Zároveň stojíme na prahu nové technologické éry. Nástroje jako umělá inteligence (AI), technologie blockchain nebo koncepty jako Metaverse přinášejí zcela nové výzvy, které původní text GDPR nemohl předvídat. Ignorovat tento vývoj znamená vystavit svou firmu riziku pomalého, ale jistého „unášení do ne-souladu“ (compliance drift), kde se vaše původní nastavení stává zastaralým a neúčinným.

Jste si jisti, že plníte své klíčové povinnosti? Základy pro každého správce

Základní povinnosti plynoucí z GDPR nejsou jen byrokratickou zátěží. Tvoří základní pilíře moderní správy dat (data governance), která, pokud je správně uchopena, zvyšuje efektivitu, minimalizuje rizika a buduje důvěru u zákazníků i obchodních partnerů. Každý správce osobních údajů by měl mít jistotu, že jeho organizace tyto základy bezchybně plní.

Určení právního titulu pro zpracování

Každé zpracování osobních údajů musí mít svůj právní základ, tzv. právní titul. GDPR jich definuje šest, přičemž pro komerční sféru jsou nejrelevantnější plnění smlouvy a oprávněný zájem. Oprávněný zájem je flexibilní, ale vyžaduje pečlivý balanční test, kde musíte prokázat, že váš zájem (např. marketingový) nepřevažuje nad právy a svobodami jednotlivců. Nedávná rozhodnutí Soudního dvora EU potvrdila, že i čistě komerční zájem může být oprávněný, ale klade to vysoké nároky na jeho zdůvodnění a transparentnost.

Dodržování základních zásad zpracování

GDPR staví na několika klíčových zásadách, které musí prostupovat veškerým nakládáním s daty. Patří mezi ně zejména minimalizace údajů (zpracovávat jen to, co je nezbytně nutné), omezení účelu (data využívat jen k účelu, pro který byla shromážděna) a omezení uložení (data uchovávat jen po nezbytně nutnou dobu). Zanedbání těchto principů je častým důvodem pro udělení pokut.

Vedení záznamů o činnostech zpracování (RoPA)

Záznamy o činnostech zpracování (Records of Processing Activities) jsou v podstatě mapou vašeho datového univerza. Tento dokument prokazuje, jaké údaje, za jakým účelem, na základě jakého titulu a jak dlouho zpracováváte. Pro dozorový úřad je to klíčový důkaz vaší odpovědnosti a schopnosti doložit soulad s nařízením.

Právníci z ARROWS vám pomohou vytvořit a spravovat přehledné a kompletní záznamy o činnostech zpracování, které obstojí při kontrole.

Zabezpečení osobních údajů

Článek 32 GDPR ukládá povinnost přijmout „přiměřená technická a organizační opatření“ k zajištění bezpečnosti dat. Nejde jen o IT zabezpečení, jako je šifrování, ale i o interní procesy, tedy kdo má k datům přístup, jak jsou zaměstnanci proškoleni a jaké jsou postupy pro případ incidentu.

V ARROWS vám pomůžeme nejen s revizí smluv s vašimi IT dodavateli, ale i s nastavením vnitřních pravidel, která reálně chrání vaše data.

Nevíte si s daným tématem rady?

Nejčastější chyby a jak se jim vyhnout: Praktická rizika pro vaši firmu

Teorie je jedna věc, ale praxe přináší konkrétní úskalí, na která firmy často narážejí. Ignorování těchto rizik může vést nejen k vysokým pokutám, ale i k poškození reputace a ztrátě důvěry zákazníků. Z našich zkušeností víme, kde podnikatelé chybují nejčastěji.

Jednou z nejproblematičtějších oblastí jsou cookies a online tracking. Mnoho webů stále používá cookie lišty, které nesplňují požadavek na aktivní a svobodný souhlas (tzv. opt-in). Používání předem zaškrtnutých políček nebo designu, který záměrně ztěžuje odmítnutí (tzv. deceptive design patterns), je v přímém rozporu s výklady ÚOOÚ a může vést k citelným sankcím.

Další kritickou oblastí jsou žádosti subjektů údajů (DSARs). Každý jednotlivec má právo vědět, jaké údaje o něm zpracováváte, a požadovat jejich opravu či výmaz. Vyřízení těchto žádostí může být administrativně náročné a vyžaduje přesně definovaný interní proces. Zákon sice umožňuje odmítnout žádosti, které jsou „zjevně nedůvodné nebo nepřiměřené“, ale takový krok musíte být schopni precizně právně odůvodnit.

Snad největší dopad na reputaci firmy mívá kybernetický útok a následné ohlášení porušení zabezpečení. Mnoho firem si neuvědomuje, že pokuta často nehrozí za samotný útok, ale za selhání v následné reakci. GDPR vyžaduje ohlášení závažných incidentů ÚOOÚ do 72 hodin od jejich zjištění. 

Obecná rizika v oblasti GDPR a jejich řešení

Následující tabulka shrnuje nejběžnější rizika, se kterými se firmy potýkají, a ukazuje, jak konkrétně vám v ARROWS můžeme pomoci je eliminovat.

Riziko k řešení

Potenciální problémy a sankce

Jak pomáhá ARROWS:

Nesprávně nastavená cookie lišta (chybějící opt-in, klamavý design)

Pokuty od ÚOOÚ , ztráta důvěry uživatelů, neplatně získaná data pro analytiku.

Provedeme audit a připravíme plně vyhovující cookie politiku a textace pro vaši lištu.

Využívání osobních údajů pro marketing bez platného právního titulu

Pokuty za nevyžádaná obchodní sdělení, poškození reputace značky, zákazy zpracování.

Zpracujeme právní stanovisko k posouzení vhodného právního titulu (souhlas vs. oprávněný zájem) a připravíme potřebnou dokumentaci.

Neefektivní proces pro vyřizování žádostí subjektů údajů (DSAR)

Prošvihnutí zákonných lhůt (1 měsíc), spory, stížnosti k ÚOOÚ, reputační škody.

Vyhotovíme interní směrnici pro vyřizování DSAR a zajistíme odborné školení pro vaše zaměstnance.

Zanedbání ohlášení porušení zabezpečení osobních údajů (data breach)

Vysoké pokuty (i za samotné neohlášení), ztráta důvěry klientů a partnerů, nařízení nápravných opatření.

Poskytneme okamžitou právní konzultaci v případě incidentu a zajistíme kompletní komunikaci s ÚOOÚ.

Nedostatečně zabezpečené databáze a systémy

Únik dat, finanční ztráty, odpovědnost za škodu způsobenou subjektům údajů, poškození pověsti.

Zajistíme revizi smluv s vašimi IT dodavateli (zpracovateli) a pomůžeme nastavit procesy pro zajištění bezpečnosti.

Uchovávání dat déle, než je nutné („datové hřbitovy“)

Porušení zásady omezení uložení, riziko úniku zastaralých dat, pokuty.

Pomůžeme vám nastavit a zdokumentovat retenční doby pro jednotlivé kategorie dat v rámci interní směrnice.

GDPR na pracovišti: Jsou data vašich zaměstnanců v bezpečí?

Pracovněprávní vztahy jsou z pohledu GDPR specifickou oblastí. Zaměstnavatel zpracovává velké množství osobních, často i citlivých údajů svých zaměstnanců. Vzhledem k nerovnému postavení mezi zaměstnavatelem a zaměstnancem je navíc právní titul „souhlas“ jen velmi obtížně použitelný, protože málokdy může být považován za skutečně svobodný.

Klíčovou výzvou je monitoring zaměstnanců. Ať už se jedná o kamerové systémy, sledování GPS ve služebních vozech nebo kontrolu používání firemních počítačů, zaměstnavatel musí vždy pečlivě vyvažovat svůj oprávněný zájem (např. ochranu majetku) s právem zaměstnanců na soukromí. Každé takové opatření musí být přiměřené, transparentní a řádně zdokumentované.

Naši experti, kteří vám pomohou s GDPR

Další oblastí je zpracování citlivých údajů, jako jsou informace o zdravotním stavu v rámci nemocenských nebo lékařských prohlídek. Zde platí ještě přísnější pravidla a zpracování je možné jen za účelem plnění zákonných povinností v oblasti pracovního práva a sociálního zabezpečení.

S příchodem nové legislativy, jako je směrnice NIS2 o kybernetické bezpečnosti, navíc přibývají nové povinnosti. Některé firmy budou muset provádět bezpečnostní screening zaměstnanců na klíčových pozicích, což opět představuje komplexní výzvu, jak sladit bezpečnostní požadavky s ochranou osobních údajů.

Pracovněprávní rizika spojená s GDPR

Tato tabulka se zaměřuje na specifická rizika, kterým čelí HR oddělení a vedení společností při zpracování údajů zaměstnanců.

Riziko k řešení

Potenciální problémy a sankce

Jak pomáhá ARROWS:

Neoprávněný nebo nepřiměřený monitoring zaměstnanců (kamery, PC)

Pracovněprávní spory, pokuty od ÚOOÚ, poškození morálky a důvěry ve firmě.

Vyhotovíme interní směrnici pro monitoring a provedeme balanční test oprávněných zájmů.

Zpracování citlivých údajů (např. o zdraví) bez splnění přísnějších podmínek

Porušení čl. 9 GDPR, vysoké pokuty, riziko žalob na ochranu osobnosti.

Zajistíme revizi procesů pro nakládání s citlivými daty a připravíme potřebnou dokumentaci.

Nedostatečné informování zaměstnanců o zpracování jejich údajů

Porušení informační povinnosti, stížnosti k ÚOOÚ, nedůvěra zaměstnanců.

Připravíme srozumitelné informační memorandum pro zaměstnance.

Nesprávné předávání údajů o zaměstnancích v rámci skupiny nebo třetím stranám

Riziko úniku dat, porušení pravidel pro předávání (i v rámci EU), smluvní pokuty od partnerů.

Zrevidujeme vaše smlouvy se zpracovateli (např. mzdové účetní) a nastavíme pravidla pro sdílení v rámci holdingu.

Nezvládnutí žádosti zaměstnance o přístup k jeho datům (DSAR)

Povinnost poskytnout i interní komunikaci týkající se zaměstnance, riziko odhalení interních pochybení.

Poskytneme odborné školení pro HR a vedení, jak na DSAR od zaměstnanců správně reagovat.

Globální dosah vašeho byznysu: Jak na bezpečné předávání dat mimo EU?

Pro firmy s mezinárodní působností, využívající globální cloudové služby nebo působící v nadnárodních koncernech, představuje předávání osobních údajů mimo Evropský hospodářský prostor (EHP) jednu z největších právních výzev. GDPR v zásadě takové předávání zakazuje, pokud není zajištěna odpovídající úroveň ochrany dat. Zajištění této ochrany je klíčové pro kontinuitu vašeho globálního podnikání.

Právě zde se naplno projevuje síla naší kanceláře. Díky deset let budované síti ARROWS International, působící ve více než 70 zemích světa, řešíme problematiku mezinárodních transferů prakticky denně.

Nejsme odkázáni na teoretické analýzy; jsme schopni zajistit přímé právní posouzení v cílové jurisdikci a poskytnout vám tak reálnou jistotu, že vaše globální datové toky jsou v bezpečí a vaše procesy mohou nerušeně pokračovat.

 

(na fotografii členové týmu ARROWS advokátní kancelář)

GDPR a nové technologie: Jste připraveni na éru AI, blockchainu a Metaverse?

Technologický pokrok klade na GDPR nové a nečekané nároky. Firmy, které inovují a zavádějí špičkové technologie, musí být o krok napřed i v oblasti ochrany dat. V ARROWS sledujeme nejnovější trendy a pomáháme našim klientům navigovat i v těchto neprobádaných vodách.

Umělá inteligence (AI) přináší otázku, na jakém právním základě lze trénovat modely na obrovských datasetech, které často obsahují osobní údaje. EDPB připouští jako možnost oprávněný zájem, ale vyžaduje robustní a zdokumentovaný balanční test. Další výzvou je tzv. „black box“ problém u automatizovaného rozhodování (čl. 22 GDPR), kde musíte být schopni subjektu údajů poskytnout smysluplné informace o logice rozhodnutí.

Technologie blockchain se svou podstatou neměnnosti (immutability) dostává do přímého konfliktu s právem na výmaz (čl. 17 GDPR). Ukládání osobních údajů přímo na blockchain je proto extrémně problematické.

Naši právníci vám pomohou navrhnout takovou architekturu řešení (např. s využitím off-chain úložišť), která umožní využít výhod blockchainu bez porušování GDPR.

Metaverse a digitální dvojčata otevírají dveře k bezprecedentnímu sběru dat, včetně biometrických a behaviorálních údajů z pohybů a interakcí avatarů. Zde je klíčové dodržet zásadu minimalizace dat a správně nastavit mechanismy pro získání platného souhlasu v imerzivním prostředí. Stejně tak je potřeba myslet na budoucí hrozby, jako je prolomení současného šifrování kvantovými počítači, což se přímo dotýká povinnosti zajistit zabezpečení odpovídající „stavu techniky“.

Rizika spojená s implementací nových technologií

Tato tabulka ukazuje, že v ARROWS nejen řešíme současné problémy, ale aktivně se připravujeme na budoucí výzvy, a jsme tak ideálním partnerem pro inovativní firmy.

Riziko k řešení

Potenciální problémy a sankce

Jak pomáhá ARROWS:

Trénování AI modelu na osobních údajích bez platného právního titulu

Porušení zásad GDPR, vysoké pokuty, nařízení smazání modelu, poškození reputace.

Zpracujeme právní stanovisko k posouzení oprávněného zájmu, připravíme balanční test a pomůžeme s dokumentací pro DPIA.

"Black box" problém u automatizovaného rozhodování (čl. 22 GDPR)

Nemožnost poskytnout subjektu údajů "smysluplné informace o použitém postupu", spory, nedůvěra.

Poskytneme právní konzultace k nastavení procesů tak, aby splňovaly požadavky na transparentnost a lidský dohled.

Ukládání osobních údajů na neměnný blockchain

Přímý konflikt s právem na výmaz (čl. 17 GDPR), nemožnost vyhovět žádostem, riziko trvalého porušování.

Navrhneme a právně posoudíme architekturu řešení (např. off-chain storage) pro zajištění souladu s GDPR.

Ohrožení stávajícího šifrování kvantovými počítači

Nesplnění povinnosti zajistit "stavu techniky" odpovídající zabezpečení (čl. 32 GDPR) v budoucnu.

Sledujeme vývoj a poskytujeme strategické právní poradenství ohledně budoucích požadavků na post-kvantovou kryptografii.

GDPR compliance při M&A transakcích (due diligence)

Převzetí skrytých rizik a odpovědnosti za pochybení cílové společnosti, dopad na valuaci.

Provedeme komplexní GDPR due diligence a navrhneme vhodné záruky a prohlášení do transakční dokumentace.

Proč si pro řešení GDPR vybrat právě advokátní kancelář ARROWS?

Výběr právního partnera pro tak komplexní agendu, jako je GDPR, je strategickým rozhodnutím. V ARROWS vám nabízíme kombinaci odbornosti, zkušeností a moderního přístupu, která je na trhu unikátní.

  • Komplexní služby pod jednou střechou: Neřešíme jen právo. Díky úzké spolupráci s daňovými a transakčními poradci v rámci naší skupiny vám poskytneme ucelený pohled na problematiku, který šetří váš čas i peníze.
  • Mezinárodní dosah: S naší globální sítí ARROWS International jsme schopni efektivně řešit vaše GDPR výzvy ve více než 70 zemích světa. To je klíčová výhoda pro firmy s mezinárodními ambicemi.
  • Praktická a srozumitelná řešení: Naším cílem není vytvářet složité právní konstrukce, ale poskytovat jasné, srozumitelné a v praxi aplikovatelné rady, které skutečně řeší vaše problémy a chrání vaše podnikání.
  • Zkušenosti a reference: Důvěřuje nám více než 2000 klientů, včetně více než 150 akciových společností a 250 společností s ručením omezeným. Ocenění, jako je Právnická firma roku, jsou důkazem kvality naší práce.
  • Moderní přístup a technologie: Rozumíme modernímu byznysu a technologiím. Využíváme efektivní nástroje a jsme připraveni řešit i ty nejnovější výzvy spojené s AI, blockchainem a dalšími inovacemi.
  • Prevence rizik: Naše práce nespočívá jen v hašení požárů. Zaměřujeme se na prevenci – pomáháme vám nastavit procesy tak, abyste se vyhnuli vysokým pokutám, ztrátě důvěry a reputačnímu poškození.

Zajistěte si právní jistotu a klid pro vaše podnikání

Správně nastavené GDPR není hrozba, ale příležitost, jak posílit svou firmu, zefektivnit práci s daty a vybudovat pevnější vztahy se zákazníky. Nenechte tuto komplexní agendu na náhodě a svěřte ji do rukou expertů, kteří se jí věnují každý den.

V advokátní kanceláři ARROWS jsme připraveni vám poskytnout komplexní podporu, která zahrnuje:

  • GDPR audity a analýzy rizik
  • Přípravu a revizi kompletní dokumentace (interní směrnice, zpracovatelské smlouvy, souhlasy)
  • Zastupování při kontrolách ÚOOÚ a ve správních řízeních
  • Odborná školení pro zaměstnance a vedení s certifikátem
  • Právní podporu při mezinárodních transferech a implementaci nových technologií

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.

Přečtěte si také:
Zaujali jsme Vás?
Kontakt