Co je GDPR?

GDPR (General Data Protection Regulation) je obecné nařízení 2016/679 pocházející od Evropského parlamentu a Rady EU. Jde o novou obsáhlou legislativu o ochraně osobních údajů schválenou v dubnu 2016 s účinností 25. května 2018. Jde o dosud nejobsáhlejší legislativu s cílem zajistit základní práva občanů EU na ochranu v souvislosti se zpracováním osobních údajů. V ČR nahradí směrnici 95/46/ES a zákon o ochraně osobních údajů č. 101/2000 Sb.
Koho se GDPR týká?

GDPR je závazné pro všechny, kdo shromažďují nebo zpracovávají osobní údaje fyzických osob žijících v EU včetně firem a institucí ze třetích zemí působících na evropském trhu. Zahrnuje také ty, kteří monitorují chování uživatelů například při využívání aplikací nebo webu. GDPR usiluje o zvýšení bezpečnosti a důvěry občanů EU vůči správcům a zpracovávatelům jejich osobních dat. Naopak se netýká občanů EU, kteří využívají data pouze k osobní potřebě nebo pracují s anonymizovanými daty.

2 roky na přípravu

Časové období 2 let mezi dubnem 2016 a květnem 2018 slouží k přípravě na nové nařízení. V tomto časovém rámci je třeba, aby firmy a instituce zrevidovaly stav ochrany a způsobu zpracování osobních údajů. V případě potřeby je pak nutné přijmout vhodná bezpečnostní a procesní opatření pro nastolení souladu s GDPR.

Co je považováno za osobní údaje?
Za osobní údaje považuje GDPR veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě. Jde například o:

  • jméno, pohlaví, věk, datum narození, osobní stav, osobní údaje dětí
  • fotografie, videozáznam, čísla identifikačních průkazů, rodné číslo, občanství
  • elektronický identifikátor – IP adresa, e-mail, poloha, cookies
  • telefonní číslo, adresa trvalého i přechodného pobytu, pracovní adresa, další identifikační údaje vydané státem

  • rasová, náboženská příslušnost, etnický původ, kulturní profil, politické názory, filozofické vyznání, členství v odborech atp.
  • zdravotní údaje, sexuální orientace, genetické a biometrické údaje
  • trestní delikty, pravomocné odsouzení

Vyloučeny naopak jsou:

  • anonymní údaje
  • údaje o zemřelých osobách

  • údaje získané pro potřeby osobní povahy, které nikde nebudeme sdílet

Jaké změny GDPR přinese?
GDPR zásadně změní dosavadní přístup při zpracovávání osobních údajů. Nařízení je rovnocenné ve všech státech EU a je všude stejně vymahatelné bez ohledu na stát nebo velikost firmy. Týká se všech firem, institucí i jednotlivců, kteří nakládají s osobními údaji. Přináší také nová pravidla, která bude třeba dodržet a dokládat jejich plnění po celou dobu zpracovávání osobních údajů.

Jaká jsou práva subjektů údajů (občanů EU)?

GDPR se snaží chránit subjekty údajů a dává jim právo na ochranu svých osobních údajů. Dochází k výraznému posílení jejich práv. Zejména jde o:

  • Subjekt údajů musí být o svých právech a o účelech zpracování dostatečně, přesně a srozumitelně informován před zadáním souhlasu se zpracováním svých osobních údajů.
  • Také by měl mít přímý přístup ke svým údajům, nejlépe online.
  • Může vznést námitku proti zpracování svých údajů.

  • Měl by mít možnost přenést údaje od jednoho správce k druhému.
  • Také má právo na omezené zpracování svých osobních údajů.
  • Dále má právo na vymazání svých údajů a také na zapomenutí, tedy vymazání bez zbytečného odkladu. Jde o veškerá opatření vedoucí k výmazu osobních údajů, jejich kopie a odkazů na tyto údaje.

Tato práva se vztahují ke všem údajům, které má správce i zpracovatel o subjektu údajů k dispozici jak na interních, tak externích úložištích. Každý má právo vědět, k jakému účelu budou jeho data použita, po jak dlouhou dobu budou uchovávána, a také vědět, kdo je příjemce těchto údajů.