GDPR

Co je GDPR?

Jedno Obecné nařízení o ochraně údajů (GDPR) je komplexní zákon o ochraně údajů přijatý Evropskou unií (EU) dne 25. května 2018, aby chránil soukromí a osobní údaje občanů EU a EHP. Ukládá přísná nařízení o tom, jak organizace shromažďují, zpracovávají, ukládají a přenášejí osobní údaje, což jednotlivcům poskytuje větší kontrolu nad jejich osobními údaji a zvyšuje ochranu soukromí a zabezpečení dat.

Přehled GDPR

• Zákon: Obecné nařízení o ochraně osobních údajů
• Kraj: Evropský hospodářský prostor
• Podepsáno: 14 04--2016
• Datum účinnosti: 25 05--2018
• Průmysl: Společnosti nabízejí produkty nebo služby občanům EU

Osobní údaje podle GDPR

GDPR definuje osobní údaje jako jakékoli informace identifikující osobu přímo (jméno, IČ) nebo nepřímo (lokační údaje, online identifikátory). I zdánlivě anonymní data mohou být osobní, pokud je lze znovu identifikovat s jinými informacemi.

Přímé identifikátory: Jméno, adresa, telefonní číslo, e-mailová adresa, identifikační číslo (např. rodné číslo, číslo pasu).

Nepřímé identifikátory: Lokalizační údaje (IP adresa, GPS souřadnice), online identifikátory (uživatelská jména, cookies), zdravotní údaje, genetické údaje, biometrické údaje (otisky prstů, rozpoznání obličeje), informace o ekonomické, kulturní nebo sociální identitě atd.

Jedno Obecné nařízení o ochraně údajů (GDPR) obsahuje několik klíčových komponent, které tvoří základ jeho komplexního rámce ochrany dat. Mezi tyto komponenty patří:

• Právní základ pro zpracování
• Práva subjektu údajů
• Odpovědnost a správa
• Zásady ochrany údajů
• Opatření pro zabezpečení dat
• Oznámení o narušení dat
• Přeshraniční přenosy dat
• Posouzení dopadu na ochranu údajů (DPIA)
• Orgány dohledu a prosazování

Zásada ochrany údajů

Tyto zásady tvoří základ GDPR a nastiňují, jak by se mělo s osobními údaji nakládat:

• Zákonnost, spravedlnost a transparentnost: Zpracování údajů by mělo být pro jednotlivce zákonné, spravedlivé a transparentní.
• Omezení účelu: Informace musí být shromažďovány pro zřetelné, jasné a zákonné záměry.
• Minimalizace dat: Lze shromažďovat pouze minimální osobní údaje nezbytné pro zamýšlený účel.
• Přesnost: Přesnost dat je prvořadá a v případě potřeby jsou nezbytné pravidelné aktualizace.
• Omezení úložiště: Údaje musí být uchovávány ve formě, která umožňuje identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely zpracování.
• Integrita a důvěrnost: K ochraně údajů před neoprávněným nebo nezákonným zpracováním a náhodnou ztrátou, zničením nebo poškozením musí být zavedena vhodná technická a organizační opatření.
• Odpovědnost: Organizace dbá na dodržování všech zásad GDPR.

Práva podle GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) uděluje jednotlivcům několik práv na ochranu osobních údajů, které jim umožňují větší kontrolu nad jejich údaji. Mezi tato práva patří:

• Právo na přístup: Jednotlivci mohou od organizací získat potvrzení, zda jsou jejich údaje zpracovávány, a pokud ano, mohou k těmto údajům přistupovat spolu s relevantními informacemi o jejich zpracování.
• Právo na opravu: Jednotlivci mohou požádat o opravu nepřesných nebo neúplných osobních údajů uchovávaných organizacemi, aby bylo zajištěno, že jejich informace zůstanou aktuální a přesné.
• Právo na vymazání (právo být zapomenut): Jednotlivci mohou za určitých okolností požádat o vymazání údajů, například když údaje již nejsou potřebné pro svůj původní účel nebo když odvolají souhlas.
• Právo na přenositelnost údajů: Jednotlivci mohou požádat o přenos svých dat z jedné organizace do druhé ve strukturovaném, běžně používaném a strojově čitelném formátu, což umožňuje snazší pohyb mezi poskytovateli služeb.
• Právo na omezení zpracování: Jednotlivci mají právo omezit zpracování svých údajů za určitých podmínek, jako je zpochybnění přesnosti údajů nebo vznesení námitky proti jejich zpracování.
• Právo vznést námitku: Jednotlivci mohou vznést námitku proti zpracování údajů pro konkrétní účely, jako je přímý marketing nebo zpracování na základě oprávněných zájmů, pokud organizace neprokáže závažné důvody, které převažují nad jejich zájmy nebo právy.
• Práva na automatizované rozhodování a profilování: Fyzické osoby mají právo vyhnout se rozhodnutím založeným výhradně na automatizovaném zpracování nebo profilování. Existují výjimky, kdy jsou taková rozhodnutí nezbytná pro smluvní závazky nebo s výslovným souhlasem.

Kdo musí dodržovat GDPR?

Přestože se obecné nařízení o ochraně osobních údajů (GDPR) vztahuje na širokou škálu organizací, které zpracovávají osobní údaje, bez ohledu na jejich velikost, umístění nebo sektor, nevztahuje se na všechny. Příklady použití jeho implementace pokrývají různá průmyslová odvětví a sektory, včetně zdravotnictví, financí a bankovnictví, maloobchodu a elektronického obchodu, technologií a jejich služeb, telekomunikací, marketingu a reklamy, vzdělávání, státní správy a veřejného sektoru, výroby a průmyslu, dopravy a logistiky, atd. Obecně platí pro:

• Organizace usazené v EU/EHP
• Organizace mimo EU zpracovávající údaje z EU/EHP.

b) Výjimky

Existuje několik výjimek z použitelnosti GDPR, jako je zpracování osobních údajů pro osobní nebo domácí aktivity. Tyto výjimky jsou však úzce definovány a v konkrétních situacích je nejlepší konzultovat s právníkem.

Regulační rizika

GDPR nastiňuje dvě úrovně pokut na základě závažnosti porušení:

Úroveň 1: Až 10 milionů EUR nebo 2 % celkových ročních příjmů za předchozí finanční rok (podle toho, co je vyšší), za porušení, jako je

• Nevedení řádných záznamů o činnostech zpracování.
• Neprovedení vhodných technických a organizačních opatření k zajištění bezpečnosti dat.
• V případě potřeby nejmenování pověřence pro ochranu osobních údajů.
• Neprovedení posouzení dopadu na ochranu údajů (v případě potřeby).
• Neinformování dozorových orgánů nebo subjektů údajů o porušení zabezpečení údajů.

Úroveň 2: Až 20 milionů EUR nebo 4 % z globálních ročních příjmů za předchozí finanční rok (podle toho, co je vyšší), za závažnější porušení, včetně:

• Mezi porušení základních zásad zpracování údajů patří nedostatek právního základu pro zpracování, nezískání souhlasu nebo zpracování údajů nad rámec stanoveného účelu.
• Zpracování citlivých osobních údajů bez příslušných záruk nebo souhlasu.
• Nesplnění požadavků na práva subjektu údajů, jako je přístup, oprava, vymazání nebo přenositelnost údajů.
• Předávání osobních údajů do třetí země nebo mezinárodní organizaci bez odpovídajících záruk nebo právního základu.
• Porušení podmínek pro získání platného souhlasu se zpracováním údajů.
• Ignorování příkazů nebo sankcí uložených dozorovými orgány.

Úřad pro dodržování GDPR:

Oprávnění k dodržování obecného nařízení o ochraně osobních údajů (GDPR) spočívá především na dozorových úřadech každého členského státu Evropské unie (EU) nebo Evropského hospodářského prostoru (EHP). Mezi dozorčí orgány patří například:

• Information Commissioner's Office (ICO) – Spojené království
• Francouzský úřad pro ochranu údajů (CNIL)
• Komise pro ochranu údajů (DPC) v Irsku
• Autoriteit Persoonsgegevens (AP) v Nizozemsku
• Německý spolkový komisař pro ochranu údajů a svobodu informací (BfDI)

Kromě toho Evropský výbor pro ochranu údajů (EDPB) zajišťuje konzistentní uplatňování práva v celé EU/EHP. EDPB poskytuje pokyny, vydává stanoviska a doporučení a řeší spory mezi orgány dohledu.

Jak se vyhnout pokutám podle GDPR?

Organizace mohou minimalizovat riziko vysokých pokut tím, že podniknou proaktivní kroky k souladu s GDPR, jako je např

• Provádění mapování dat a analýzy mezer
• Zavádění vhodných technických a bezpečnostních opatření, jako je maskování dat
• Získání výslovného souhlasu se zpracováním údajů
• Vyřizování žádostí subjektu údajů rychle a efektivně
• Hlášení narušení dat v předepsaných časových rámcích
• Hledání právního poradce ohledně pokynů ohledně předpisů o ochraně osobních údajů

Závěrem lze říci, že orgánem pro dodržování obecného nařízení o ochraně osobních údajů (GDPR) jsou dozorové orgány každého členského státu Evropské unie (EU) nebo Evropského hospodářského prostoru (EHP). Tyto orgány hrají klíčovou roli při sledování a vymáhání souladu s GDPR v rámci svých jurisdikcí a zajišťují ochranu osobních údajů jednotlivců. Zatímco hlavní odpovědnost za vymáhání nesou dozorčí orgány, organizace musí také upřednostňovat interní úsilí o dodržování norem ochrany údajů, vyhýbat se pokutám a udržovat důvěru zúčastněných stran.

Nejčastější dotazy