10. 05. 2018
Co je obecné nařízení o ochraně osobních údajů GDPR?
Obecné nařízení o ochraně osobních údajů (GDPR) je nové nařízení EU platné pro
celou Evropskou unii. Nahrazuje stávající směrnici o ochraně dat, která platí
od roku 1995. I když nařízení GDPR zachovává celou řadu principů této
směrnice, představuje mnohem ambicióznější cíle. Mezi jeho nejdůležitější
změny patří to, že poskytuje soukromým osobám větší kontrolu nad jejich
osobními údaji a ukládá nové povinnosti organizacím, které tato data
shromažďují, zpracovávají a analyzují. Nařízení GDPR také dává národním
regulátorům nové pravomoci uvalit významné sankce na organizace, které tento
zákon poruší.
Co je to osobní údaj?
Osobním údajem může být jeden nebo i více údajů, které teprve dohromady
umožňují určit konkrétní osobu.
Osobní údaje lze rozdělit na dvě základní skupiny:
- Obecné osobní údaje
- Zvláštní osobní údaje
Mezi nejčastější obecné osobní údaje patří:
- jméno a příjmení, pohlaví, věk, datum a místo narození, rodné číslo, rodinný
stav
- adresa (trvalé bydliště, doručovací adresa )
- fotografický, video nebo audio záznam
- e-mailová adresa (zvláště pokud obsahuje například jméno a firmu), telefonní
číslo (soukromé i pracovní), IP adresa
- různé identifikační údaje vydané státem: IČO, DIČ, číslo občanského průkazu,
číslo řidičského průkazu, číslo cestovního pasu a další...
- osobní údaje dětí nebo manžela/manželky, resp. partnera/partnerky obecné i
zvláštní
Do zvláštních osobních údajů patří:
- údaje o rasovém či etnickém původu (národnost), NE státní občanství politické názory, NE členství v politické straně nebo hnutí, NE členství v
komunistické straně před rokem 1989 (dle ÚS)
- náboženské vyznání
- filozofické vyznání
- členství v odborech
- zdravotní stav - údaje o tělesném nebo dušením zdraví, o poskytnutí zdravotních služeb
- sexuální orientace
- trestní delikty
- pravomocná odsouzení
Kdy není souhlas se zpracováním osobních údajů vyžadován?
Údaje vyžadované zákony, např. povinné údaje na daňovém dokladu, mzdových
listech apod. nepodléhají povinnosti informačního souhlasu se zpracováním
osobních údajů. Naopak pro zpracování zvláštních osobních údajů se vyžaduje
souhlas vždy.
Co patří k hlavním požadavkům nařízení GDPR?
Nařízení GDPR ukládá celou řadu požadavků organizacím, které shromažďují a
zpracovávají osobní údaje, včetně povinnosti splňovat šest základních
principů:
- transparentnost, poctivost a dodržování zákonů při manipulaci s osobními údaji
a při jejich používání
- omezení zpracovávání osobních údajů pouze na stanovené, výslovně uvedené a
opodstatněné účely
- shromažďování a ukládání minimálního množství osobních údajů nezbytného pro
konkrétní účel
- zajišťování přesnosti údajů a poskytování možnosti jejich opravy či vymazání
- omezení ukládání osobních údajů
- zajištění zabezpečení, soudržnosti a důvěrnosti osobních údajů
Na koho se GDPR vztahuje?
Nařízení GDPR se vztahuje na organizace všech velikostí a ze všech odvětví.
Konkrétně se nařízení GDPR vztahuje na:
- zpracovávání jakýchkoli osobních údajů, pokud k takovému zpracovávání dochází
v souvislosti s aktivitami organizace se sídlem v EU (bez ohledu na to, kde ke
zpracovávání dochází)
- zpracovávání osobních údajů soukromých osob s trvalým bydlištěm v EU, pokud
tato data zpracovává organizace se sídlem mimo EU, když toto zpracovávání
souvisí s nabídkou zboží či služeb těmto soukromým osobám nebo s monitorováním
jejich chování
Hlavním termíny v nařízení GDPR:
- správce údajů: Správce je fyzická nebo právnická osoba, veřejná instituce, úřad nebo jiný orgán, který samostatně nebo ve spojení s dalšími určuje, jak a proč jsou údaje zpracovávány.
- zpracovatel údajů: Zpracovatel je fyzická nebo právnická osoba, veřejná instituce, úřad nebo jiný orgán, který jménem správce údajů zpracovává osobní údaje.
- osobní údaje: Jakékoli informace související s identifikovanou nebo identifikovatelnou fyzickou osobou, také nazývanou subjekt údajů. Osobu je možné identifikovat přímo či nepřímo na základě odkazu na identifikátor, jako je jméno, rodné číslo, údaje o umístění či online identifikátor nebo na základě specifických faktorů týkajících se fyzické, fyziologické, genetické, duševní, ekonomické, kulturní či sociální identity.
- zpracování: Znamená jakoukoli operaci nebo sadu operací provedených s osobními údaji nebo sadami osobních údajů, a to automatizovaně nebo ručně. Mezi tyto operace patří například shromažďování, zaznamenávání, strukturování, ukládání apod.
- pseudonymizace: Úkon zpracování osobních údajů takovým způsobem, že dané osobní údaje již není možné přiřadit ke konkrétnímu subjektu údajů bez použití dalších informací za předpokladu, že tyto informace jsou uchovávány odděleně. Podrobný popis hlavních termínů je uveden v Článku 4 nařízení GDPR.
Jak se nařízení GDPR dotýká zabezpečení?
Na základě nařízení GDPR musí správce dat přijmout opatření, která zajistí
bezpečí osobních údajů. Mezi tato opatření patří „organizační opatření“, jako
je například omezení počtu osob, které mají přístup k osobním údajům, a
„technická opatření“, jako například šifrování.
Nařízení GDPR neuvádí ani nepředepisuje konkrétní bezpečnostní opatření, která
musí správce dat přijmout. Očekává se, že sám rozhodne o potřebných
bezpečnostních opatřeních na základě faktorů, jako je charakter osobních
údajů, které shromažďuje, jejich citlivost a rizika spojená s jejich
zpracováváním.
Je třeba zvážit různé typy bezpečnostních rizik. Mezi nejběžnější z nich patří
fyzické vniknutí, nepoctiví zaměstnanci, náhodná ztráta nebo online hackeři.
Jestliže chcete zajistit dodržování předpisů, je vhodné vytvořit plán řízení
rizik a provést kroky k jejich zmírnění.
Co vyžaduje nařízení GDPR, pokud dojde k průniku k datům?
Nařízení GDPR definuje „porušení zabezpečení osobních údajů“ jako „porušení
zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně
nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo
jinak zpracovávaných osobních údajů.“
V případech porušení zabezpečení má správce dat povinnost ohlásit tuto
skutečnost dozorovému úřadu do 72 hodin od zjištění takového případu (s
výjimkou případů, kdy je nepravděpodobné, že by tento únik měl za následek
riziko pro práva a svobody fyzických osob). Povinnost upozornit na takový
případ má správce dat i osoby, o kterých data unikla, pokud jim z důvodu
porušení zabezpečení hrozí významné riziko poškození.
Co to znamená být transparentní"?
Správce dat musí čestně a jasně vysvětlit, proč a jak zpracovává osobní údaje
fyzických osob. Nařízení GDPR obsahuje podrobné informace o tom, co se musí
soukromým osobám sdělit o zpracovávání jejich osobních údajů. Mezi tyto
informace patří mimo jiné:
- proč dochází ke zpracování osobních údajů
- jak dlouho bude správce dat tyto údaje ukládat (nebo kritéria, na základě kterých určuje, jak dlouho potřebuje údaje ukládat);
- s kým budou osobní údaje sdíleny
- jestli budou osobní údaje přenášeny mimo Evropský hospodářský prostor
Další zdroje informací
Dobrým „startovním“ zdrojem informací, kde je celá problematika vysvětlena
jazykem srozumitelným pro běžné uživatele, je
https://sites.google.com/site/jaknagdpr/