GDPR
Aktualizováno: 1.11.2024
GDPR (General Data Protection Regulation) je nařízení o ochraně osobních údajů v rámci legislativy EU, která výrazně zvýší ochranu osobních dat občanů.
Co je zkratka GDPR?
GDPR je zkratka General Data Protection Regulation, ucelený soubor pravidel na ochranu osobních dat občanů Evropské unie.
Nařízení GDPR je závazné pro všechny firmy, instituce a jednotlivce, kteří shromažďují a/nebo zpracovávají osobní údaje fyzických osob žijících v zemích Evropské unie. Povinnost se vztahuje i na subjekty registrované mimo EU, pokud na evropském trhu působí.
Osobami, na než se ochrana dat vztahuje, mohou typicky být zaměstnanci, zákazníci, dodavatelé, žáci, klienti sociálních zařízení apod.
GDPR vstupuje v platnost jednotně v celé EU 25. května 2018. Nahradí současnou evropskou právní úpravu ochrany osobních dat (směrnice 95/46/ES) i příslušnou národní legislativu, v případě ČR zákon č. 101/2000 Sb., o ochraně osobních údajů.
Působnost a závaznost
- Vztahuje se na zpracování osobních údajů v rámci EU
- Platí pro správce a zpracovatele mimo EU nabízející služby v EU
- Aplikuje se při monitorování chování subjektů údajů v EU
Klíčové principy GDPR
Základní principy GDPR představují fundamentální pravidla, kterými se musí řídit každé zpracování osobních údajů. Tyto principy jsou závazné pro všechny správce a zpracovatele.
- Zákonnost, korektnost a transparentnost
- Účelové omezení
- Minimalizace údajů
- Přesnost
- Omezení uložení
- Integrita a důvěrnost
- Odpovědnost správce
Práva subjektů údajů
Každá fyzická osoba, jejíž osobní údaje jsou zpracovávány, má následující garantovaná práva, která musí být respektována:
- Právo na přístup k údajům
- Právo na opravu
- Právo na výmaz ("být zapomenut")
- Právo na omezení zpracování
- Právo na přenositelnost údajů
- Právo vznést námitku
- Právo nebýt předmětem automatizovaného rozhodování
Povinnosti správců a zpracovatelů
Správci a zpracovatelé osobních údajů musí implementovat následující povinnosti do své praxe:
- Vedení záznamů o zpracování
- Implementace bezpečnostních opatření
- Hlášení bezpečnostních incidentů
- Posouzení vlivu (DPIA)
- Jmenování DPO (pověřence)
Sankce za nesplnění podmínek GDPR
- Až 20 milionů EUR nebo 4% ročního obratu
- Posuzuje se závažnost, doba trvání, počet dotčených osob
- Zohledňuje se spolupráce s dozorovým úřadem
- V ČR je dozorovým úřadem Úřad pro ochranu osobních údajů (ÚOOÚ)
Praktická implementace GDPR
- Mapování osobních údajů
- Analýza právních základů
- Revize bezpečnostních opatření
- Aktualizace dokumentace
- Školení zaměstnanců
- Pravidelný audit
Závěr
GDPR představuje komplexní rámec ochrany osobních údajů v EU. Vyžaduje aktivní přístup organizací k ochraně osobních údajů a zavádí významné sankce za porušení pravidel.
Související legislativa
- Zákon č. 110/2019 Sb., o zpracování osobních údajů
- Směrnice 2002/58/ES (ePrivacy)