GENERAL
DATA
PROTECTION
REGULATION


Čeho se nařízení týká?

Nařízení se týká všech subjektů, které shromažďují, zpracovávají a uchovávají osobní údaje občanů Evropské unie. A to jak v elektronické, tak i tištěné formě. Nová úprava se vztahuje jak na malé podnikatele a firmy, tak na veškeré instituce státní správy a samosprávy včetně dalších veřejných institucí.

Co je tedy osobní údaj? Každá informace o fyzické osobě (subjektu údajů), kterou lze přímo i nepřímo identifikovat. Např. jméno, číslo, pohlaví, věk a datum narození, osobní stav, nově také IP adresa či fotografický záznam, organizační údaje jako emailová adresa, telefonní číslo, další tzv. citlivé údaje - rasový či etnický původ, politický názor, náboženské či filozofické vyznání, údaje o zdravotním stavu, orientaci a trestních deliktech či pravomocném odsouzení osob. Zpracování citlivých údajů podléhá mnohem přísnějšímu režimu než je tomu u obecných údajů.
 

Co je v nařízení zásadní?

GPDR zavádí informační povinnost vést záznamy o zpracování osobních údajů.
 
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování musí každý správce i zpracovatel prokazatelně doložit. Odpovědná osoba (správce) musí při shromažďování údajů poskytnout a zajistit úplnou dokumentaci týkající se účelu, trvání, uložení a vymazání údajů dle kapitoly III, článku 13.
 
GDPR dává lidem, kterým údaje patří nová práva. Kromě práva informovanosti o svých právech, mohou vznést námitku proti zpracování údajů a musí mít přístup k údajům, které jsou o něm zpracovávány. V kapitole III, článku 17 se hovoří o zcela novém právu, a to právo na výmaz ("právo být zapomenut"), pokud neexistuje právní důvod pro zpracování.

Zpracovávat osobní údaje může organizace pouze na základě jasně definovaného účelu, jenž je podepřen jedním z šesti právních titulů, které GDPR v kapitole I, článku 6 uvádí, a to na základě:
  • zákonného titulu (právní/legislatvní povinnosti)
  • oprávněného zájmu správce
  • plnění smlouvy
  • veřejného zájmu (moci)
  • životně důležitého zájmu osob,
  • udělený souhlasu osoby (subjektu).
V praxi to znamená, že každý subjekt by si měl položit otázku za jakým účelem a jaká osobní data zpracovává a ukládá. Tedy provést jakou si inventuru zpracovávaných dat, tedy kde data ukládá, dále zpracovává a s kým je sdílí. Dále musí (dle kapitoly IV, článku 32, zabezpečení zpracování dat) firmy a organizace s přihlédnutím ke stavu techniky, nákladům provést technická a organizační opatření k ochraně zabezpečení dat odpovídající danému riziku.
 

A proč se vůbec zabývat GDPR?


GDPR je evropský předpis, který zavádí nová pravidla, jejichž porušením se organizace vystavuje vysoké pokutě, ztrátě dobrého jména a důvěry.
 
Za porušení ustanovení GDPR lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok.(Kapitola VIII, článek 83, Obecné podmínky pro ukládání správních pokut).

Významným bodem se stává i oznamovací povinosti v Kapitole IV, článku 33, Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu. Nově musí zpracovatel (správce) v případě porušení ochrany osobních údajů bez odkladu neprodleně hlásit únik či ohrožení zabezpečení příslušnému orgánu.