Články

Články

Obecně k General Data Protection Regulation (GDPR)

Z důvodu dosavadní roztříštěnosti právních úprav ochrany osobních údajů v členských státech Evropské Unie bylo za účelem sjednocení pravidel napříč členskými státy přijato Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), které vstoupí celounijně v účinnost dne 25. 5. 2018. 

Do účinnosti GDPR by měly všechny subjekty zpracovávající osobní údaje splnit následující důsledně zrevidovat své informační systémy a postupy nakládání s osobními údaji. GDPR se dotkne každého (zaměstnavatelé, podnikatelé, orgány veřejné moci), kdo data občanů států EU zpracovává.

Jako základní zásady zpracování osobních údajů GDPR vymezuje zejména:

Zákonnost 
Korektnost
Transparentnost 
Integrita
Důvěrnost

Co tedy GDPR přináší nového oproti současnému stavu?

Občané (tedy subjekty údajů) mají právo být o svých osobních údajích informováni podstatně šířeji než dosud, budou moci vznést námitku vůči zpracování údajů a budou mít garantován přístup k informacím a údajům, které jsou o nich shromažďovány.

Právo na opravu a Právo být zapomenut – povinnost bez zbytečného odkladu smazat osobní údaje žádající osoby, a to v případě, kdy je naplněn některý z důvodů vymezených v čl. 17 GDPR.

V případě narušení bezpečnosti ochrany osobních údajů vzniká oznamovací povinnost – zpracovateli nastane povinnost sdělit únik dat či narušení jejich bezpečnosti Úřadu pro ochranu osobních údajů nejpozději do 72 hodin.

Vyjmenované subjekty mají povinnost zřídit funkci Pověřence pro ochranu osobních údajů.

Povinnost subjektů shromažďujících osobní údaje vypracovat Data Protection Impact Assessment, tedy posouzení vlivu na ochranu osobních údajů. Tato povinnost se vztahuje na evidující subjekty provádějící systematické a rozsáhlé vyhodnocení osobních údajů založené na automatizovaném zpracování, obdobně také subjekty, které v rozsáhlém objemu zpracovávají citlivé osobní údaje či systematicky monitorují veřejně přístupné prostory.

Osobní údaje by měly projít co nejrychleji procesem pseudonymizace, kterým se rozumí zpracování osobních údajů tak, aby již nemohly být bez dostatečných informací, které jsou uchovávány odděleně, přiřazeny konkrétní osobě.

Každý správce nebo zpracovatel má povinnost vést Záznam o činnosti zpracování a spolupracovat s dozorových úřadem, na jeho žádost tyto záznamy zpřístupnit pro jejich monitorování (týká se společností nad 250 zaměstnanců, nicméně může se v jistých případech vztahovat i na společnosti s méně zaměstnanci).

Jaké sankce hrozí subjektům z porušení povinností stanovených v GDPR?

Pokuty do maximální výše až 20 000 000 eur nebo 4 % celkového ročního obratu společnosti, kdy výše sankce závisí zejména na intenzitě a trvání porušování povinností, počtu zasažených subjektů atd.

Evidující subjekty mohou být vystaveny žalobám ze stran fyzických osob s nárokem na náhradu škody (hmotné i nehmotné újmy) a tím způsobenou ztrátou důvěry a reputačním rizikům způsobeným nesprávným nakládáním s osobními údaji.


Z výše uvedeného je patrné, že s účinností GDPR přibude subjektům zpracovávajícím osobní údaje (tedy prakticky každému) náročná administrativa s případnými citelnými sankcemi v případě pochybení. Rádi Vám s implementací bezpečných pravidel pro Vaši společnost pomůžeme, abyste byli v květnu 2018 na dopady GDPR připraveni!