co musíte vědět o GDPR

Základní informace

Úvod

GDPR neboli General Data Protection Regulation je nové legislativní nařízení Evropské unie, které vstoupí v platnost 25. května 2018. GDPR přináší nová pravidla pro všechny organizace v komerčním i státním sektoru, včetně neziskových organizací. Týká se všech firem, které nabízejí produkty a služby v Evropské unii nebo shromažďují a analyzují data obyvatel EU.

Osobní údaje

  • Mezi obecné osobní údaje patří například:
    • Jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam
    • Organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem
  • Zvláštní kategorií osobních údajů jsou údaje o:
    • Rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení
  • Do kategorie citlivých údajů patří:
    • Genetické, biometrické údaje a osobní údaje dětí
    • Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů
  • Naopak z působnosti GDPR jsou vyloučeny:
    • Anonymizované údaje
    • Údaje zemřelých osob
    • Údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter (např. Vizitky)

Základní pojmy

Správce

Je to každý subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů. Správce je hlavním adresátem povinností v Obecném nařízení a odpovídá za:

  • dodržování zásad zpracování
  • dodržování povinností upravených nařízením
  • zabezpečení údajů

Významné povinnosti správce

  • aplikovat záměrnou a standardní ochranu osobních údajů
  • jmenovat pověřence pro ochranu osobních údajů (netýká se všech organizací)
  • posuzovat vliv na ochranu osobních údajů a provádět předchozí konzultace
  • ohlašovat případy porušení zabezpečení ÚOOU
  • vést záznamy (netýká se všech organizací)

Zpracovatel

Je subjekt, kterého správce může využít pro zpracování osobních údajů. Zpracovává osobní údaje „svěřené“ správcem způsobem určeným správcem (např. je pověřen jejich shromažďování).

Záznamy o činnostech zpracování

Jsou záznamy, které budou správci vést o jejich zpracování osobních údajů a na žádost je zpřístupní dozorovému orgánu. Jsou jakousi náhradou za oznamovací povinnost, která byla zrušena.

Povinnost vést tyto záznamy mají firmy nad 250 zaměstnanců nebo firmy u kterých je vysoké riziko pro porušení práv a svobod občanů. Pro každé oddělení ve firmě je potřeba zpracovat tyto záznamy např. Obchodní, marketingové nebo personální oddělení. Záznamy musí obsahovat tyto údaje:

  • název a kontaktní údaje správce/právnické osoby
  • důvod zpracování
  • popis kategorií subjektů údajů a osobních údajů
  • kategorie organizací, které tyto údaje obdrží
  • přenos údajů do jiné země či organizace
  • lhůtu pro odstranění údajů
  • popis bezpečnostních opatření uplatňovaných při zpracování

Pověřenec pro ochranu osobních údajů (DPO)

Hlavním úkolem DPO je monitorování souladu zpracování s povinnostmi vyplývajících z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy ochrany dat.

  • povinnost jmenovat pověřence má:
    • orgán veřejné moci
    • pokud hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé a systematické monitorování lidí
    • hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů, nebo osobních údajů týkajících se rozsudků v trestných věcech a trestních činů

Jediný pověřenec může být jmenován i pro několik státních orgánů, institucí či firem, které mají podobnou strukturu (např. školy v kraji) čili je možný tzv. Outsourcing. Pověřenec však nemá žádnou zodpovědnost a nemusí mít „žádné“ vzdělání a musí být dobře zaplacen.

Posouzení vlivu na ochranu osobních údajů (DPIA)

Posouzení vlivu je nutné provést pokud zpracování údajů představuje vysoké riziko pro porušení práva a svobody fyzických osob.

Kritéria pro vznik povinnosti:

  • systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad
  • rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl.10 Obecného nařízení
  • rozsáhlé a systematické monitorování veřejně přístupných prostorů

Zpět na homepage