Co je to GDPR?

Novým právním předpisem platným v celé EU je od 25. května 2018 Nařízení o GDPR (General Data Protection Regulation), které nahradí v České republice stávající právní úpravu obsaženou v z. č. 101/2001 Sb., o ochraně osobních údajů.

Již podle stávající úpravy byla stanovena základní pravidla pro správce (ti, kteří zpracovávají osobní údaje) k ochraně našich osobních údajů před zneužitím nebo ztrátě. Závazek správců ke zpracování osobních údajů v souladu s normami existoval tedy dávno před GDPR, ale teprve s rozmachem informační společnosti se ochrana stala naléhavější.

Osobní údaje tvoří naši integritu a ve virtuálním světě informační společnosti plynou vyšší a nová rizika (hackeři, ovlivňování voleb, zneužívání účtů, nepřesné či klamavé údaje,..) pro jejich subjekty (všechny fyzické osoby).

Přirozenou reakcí pak bylo zavedení přísnějších pravidel pro zpracovatele, které budou odpovídat aktuálním standardům ochrany osobních údajů a výzvám do budoucna.

Zpracování osobních údajů je a bude pro fungování společnosti nezbytné, pravidla však musí odpovídat novému nařízení o GDPR.

více

Koho se GDPR týká?

GDPR platí pro všechny subjekty, které zpracovávají osobní údaje občanů EU, a to celosvětově. GDPR zavádí celou řadu nových práv a povinností pro zpracovatele a správce osobních údajů, kteří musí zavést nové procesy a technologie v souladu s GDPR.

Toto nařízení se dotýká všech oblastí podnikání, tedy všech subjektů a oblastí činnosti, při kterých dochází ke zpracování osobních údajů.

více

Kdo je to DPO - pověřenec pro ochranu osobních údajů?

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které zavádí obecné nařízení (GDPR) k datu své účinnosti od 25. května 2018.

DPO monitoruje zda je zpracování osobních údajů v souladu s povinnostmi vyplývajícími z nařízení GDPR. Provádí interní audity, školení pracovníků a celkové řízení agendy interní ochrany dat.

více

Musíte jmenovat DPO?

Počet zaměstnanců pro jmenování pověřence pro ochranu osobních údajů není rozhodný, jmenuje ho správce pouze za splnění jedné ze tří podmínek.

Těmi jsou:

• zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
• hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
• hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Jaké hrozí SANKCE?

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.

Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

Co se rozumí pod pojmem osobní údaj?

Jedná se o informace o fyzické osobě, která byla identifikována nebo by se identifikovatelnou za určitých okolností mohla stát. Obecným osobním údajem je například příjmení, jméno, datum narození, věk, pohlaví, osobní stav, je jím však i fotografie, IP adresa (anglicky IP Address), což je identifikátor síťového rozhraní v počítačové síti, používající IP protokol. U podnikajících fyzických osob (PFO) lze považovat za osobní údaj například telefonní číslo, email a identifikační údaje, které byly PFO přiděleny státem.

Osobní údaje dítěte

Podmínkou pro zpracování osobních údajů dítěte mladšího 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.