Níže najdete český text a komentáře ke GDPR nařízení. Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) je plným názvem nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nový evropský „GDPR zákon“ zvyšuje ochranu osobních dat občanů, nastavuje jednotná pravidla nakládání s osobními údaji fyzických osob v reálném i virtuálním světě a zároveň umožňuje jejich volný pohyb v EU.
Ochrana osobních údajů – GDPR nařízení
Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části GDPR nařízení se nevztahují na organizace s méně než 250 zaměstnanci v případě, že hlavní činností není zpracování citlivých údajů či velký rozsah zpracování.
Zákonem chráněné osobní údaje jsou libovolné neveřejné údaje, které lze přiřadit konkrétní osobě prostřednictvím:
- jména, bydliště, r.č. či data narození
- čísla dokladů: OP, pas, ŘP
- elektronických údajů (IP adresa, cookie, lokalizační údaje)
Nařízení se vztahuje též na automatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být do evidence zařazeny. Zákon definuje skupinu zvláště citlivých osobních údajů. Směrnice GDPR klade zvláštní požadavky na vytváření profilů občanů EU, které umožní jejich ruční či automatické hodnocení (scoring). GDPR nařízení i s komentáři uvádíme níže.
-
GDPR nařízení
-
Evropská ochrana osobních údajů
- Účinnost: 25. května 2018
- Odpovědnost: vrcholový management
- Vliv: procesy, IT systémy, souhlasy, kodex
- Rizika: pokuty ÚOOÚ a odškodnění občanům EU
- Pomoc: oborové kodexy, GDPR audit, GDPR certifikace
Co musí firma dle GDPR nařízení dělat?
Nejprve zjistit, jaké paragrafy GDPR zákona se jí týkají, příp. co udělat, aby se některým požadavkům vyhnula. Pokud se na ní GDPR vztahuje v plném rozsahu, musí zavést odpovídající kodex, pověřence, procesy a systémy – tuto odpovědnost není možné delegovat na dodavatele služeb. Na druhou stranu je to ideální příležitost k celkovému vylepšení procesů, zvýšení bezpečnosti informačních systémů a automatizaci firmy. Nabízí se též souběžné dosažení dvojí shody: GDPR certifikace a kybernetická bezpečnost.
Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit. Možnosti vyhodnocení vaší situace, nabízené služby a návody na řešení GDPR zde, GDPR certifikace zde. Český text nařízení GDPR s komentářem a odpovědi na časté otázky níže.
GDPR nařízení a informační systémy
Kromě samotné ochrany musí firma vědět, kde všude jsou obsaženy a být schopna pracovat s osobními údaji jako celkem. Kromě jiného musí být schopna:
- zobrazit uživateli přehled všech osobních údajů (dále OÚ)
- zpracovat žádost o opravu či výmaz OÚ
- zpřístupnit OÚ pro přenos a logovat veškeré přenosy osobních údajů
- přiřadit příznak omezení zpracování a blokovat OÚ v systému
- vytvořit a zpětně doložit průběh odsouhlasení, uložení, ochrany a likvidace osobních dat
Kompletní znění GDPR česky
- GDPR nařízení – obsah
- Důvodová zpráva a výklad GDPR
- I. Obecná ustanovení (čl. 1-4)
- II. Zásady (čl. 5-11)
- III. Práva subjektu údajů (čl. 12-23)
- IV. Správce a zpracovatel (čl. 24-43)
- V. Předávání osobních údajů (čl. 44-50)
- VI. Nezávislé dozorové úřady (čl. 51-59)
- VII. Spolupráce a jednotnost (čl. 60-76)
- VIII. Právní ochrana, odpovědnost a sankce (čl. 77-84)
- IX. Ustanovení týkající se zvláštních situací (čl. 85-91)
- X. Akty v přenesené pravomoci a prováděcí akty (čl. 92-93)
- XI. Závěrečná ustanovení (čl. 94-99)
Pokyny k přenositelnosti údajů
Nařízení GDPR – otázky a odpovědi
- Stručný výklad GDPR – kdy, proč a jak
- Nové přístupy a povinnosti
- Výklad GDPR – nejdůležitější pojmy
- Zásady a právní důvody zpracování
- Zvláštní kategorie osobních údajů (citlivé údaje)
- Komentář ke GDPR – práva subjektů údajů
- GDPR souhlas se zpracováním osobních údajů
- Správce, zpracovatel
- Zabezpečení osobních údajů
- Posouzení vlivu na ochranu údajů (DPIA)
- GDPR a personalistika, ochrana OÚ na pracovišti
- GDPR – pověřenec pro ochranu osobních údajů
- Předávání osobních údajů do jiných zemí
- Sankce, pokuty, oznámení
- Oficiální GDPR certifikace
DPO – pověřenec pro ochranu OÚ
GDPR-ready dodavatelé
Přehled dodavatelů ICT, kteří vám pomohou se zavedením GDPR a seznam informačních systémů, které mají potřebnou funkcionalitu.
On-line audit: GDPR ano/ne
Jaké požadavky evropského GDPR nařízení se týkají vaší firmy? Lze se některým vyhnout? Zjistíte pomocí on-line GDPR auditu.
On-site audit: Požadavky GDPR
Jakým způsobem vaše organizace splní požadavky nového GDPR zákona? GDPR audit přináší detailní seznam odpovědí a návody.
GDPR certifikace
Evropská GDPR certifikace o plné shodě zpracování s nařízením o ochraně osobních údajů GDPR je jistota pro firmu i zákazníky.
GDPR-ready dodavatelé
Asociace za lepší ICT řešení, o.p.s.
bezplatný audit, konzultace, certifikace
BUREAU VERITAS CZECH REPUBLIC, spol. s.r.o.
procesy a směrnice, GDPR certifikace
Seminaria, s.r.o.
školení, kurzy, konference
TAYLLORCOX s.r.o.
procesy a směrnice, GDPR certifikace
Otázky a odpovědi
Stručně - co je GDPR?
Zjednodušeně řečeno, GDPR je nový evropský zákon, který spojil dohromady osvědčená pravidla ochrany osobních údajů z různých států s hledisky kybernetické bezpečnosti, snadného elektronického sdílení a zároveň i ochrany práv lidí při robotizovaném zpracování. Stručné definice používaných pojmů jsou uvedeny zde.
Musíme jmenovat pověřence pro ochranu osobních údajů DPO?
Obecné nařízení GDPR požaduje jmenovat pověřence pro ochranu osobních údajů (anglicky Data Protection Officer nebo též zkráceně DPO) ve třech případech:
- pokud hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů, nebo
- pokud hlavní činnost spočívá v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo
- pokud zpracování provádí orgán veřejné moci či veřejný subjekt
Rozsáhlým zpracováním se rozumí například zpracování osobních údajů pro potřeby behaviorální reklamy, sledování polohy, věrnostní programy – více zde: povinné jmenování DPO.
Je GDPR audit nebo GDPR certifikace povinná?
Ne, žádná certifikace není ze zákona povinná. Jiná věc však je, zda ji nebudou vyžadovat obchodní partneři. Podle GDPR nařízení je každý subjekt, který předává třetí straně osobní údaje (jména, kontakty, objednávky) povinen zajistit, aby byly chráněny stejně (nebo lépe) než u něj. A právě GDPR certifikace daného zpracování (procesu) či používané aplikace (produktu) je zárukou splnění všech požadavků zákona. Méně prestižním klientům nebo při menším rozsahu zpracování může postačit předložení zprávy o provedení GDPR auditu. Více o oficiální certifikaci zde.
Potřebuje lékař dle GDPR souhlas pacientů s kontaktováním po e-mailu?
Lékař, stejně jako každý podnikatel, může údaje potřebné k naplnění smluvního vztahu ukládat bez samostatného souhlasu. Vzhledem k potřebě kontaktovat klienta/pacienta je uložení telefonu a emailu naprosto oprávněné, stejně jako pozvánka k preventivní kontrole. Pokud by ale lékař chtěl pacientům pravidelně zasílat obchodní nabídky, měl by od nich získat písemný souhlas se zpracováním – viz další otázka.
Jak přistupovat z pohledu GDPR k firemním, sdíleným elektronickým adresářům?
Zpracování kontaktů (osobních údajů) v jakémkoliv systému se napříč firmou řídí stejnými GDPR pravidly, upřesnění požadavků např. v auditu zdarma:
https://lepsi-reseni.cz/informacni-systemy/online-audit-gdpr-ano-ne/
Co se týká bezplatných cloudových služeb, pozor na situaci, kdy nemáte s provozovatelem vyhovující smlouvu o zpracování – a tedy ani žádné garance ohledně důvěrnosti, bezpečnosti a dostupnosti údajů. Pokud byste tam umístili osobní údaje, jednalo by se o porušení GDPR nařízení.
Jakou podobu má mít "GDPR souhlas" se zpracováním osobních údajů?
Nároky na udělení souhlasu se zvyšují – prvořadě musí být jednoznačný, nestačí „pokračování v používání webu“. Další změnou je povinnost přesně a jednoduchým jazykem popsat zamýšlené zpracování osobních údajů, jeho důsledky i možnosti jeho ukončení. Podrobný rozbor zde: souhlas dle GDPR.
Kdy je zanedbání ochrany osobních údajů trestný čin?
Zjednodušeně řečeno, když se podle zásad GDPR nebudete řídit nebo se o to alespoň maximálně snažit. (A nebudete schopni tuto snahu zpětně průkazně doložit, ideálně externím GDPR auditem či akreditovaným osvědčením.) Trestní odpovědnost se týká právnické osoby i osobně členů jejího vedení.
Vztahuje se GDPR nařízení i na spolky a sdružení?
Ano, s nadsázkou se dá říci, že kromě domácích adresářů a policie se GDPR týká všech. To ale neznamená, že všichni musí od základů měnit způsob zpracování osobních údajů či nakupovat nový software. V případě malého spolku nebo společenství vlastníků půjde spíše o úklid souborů a papírů – výsledná hromádka se přiměřeně ochrání (rozumným heslem, spolehlivou cloud službou, zamčeným šuplíkem) a popíše se. Následně si spolek od členů vyžádá souhlas s tímto zpracováním. Do souhlasu je nutné ještě uvést, na koho se mají členové obrátit, když budou chtít údaje upravit nebo odstranit.
Na jaké situace se GDPR nevztahuje?
Nařízení se nevztahuje na zpracování osobních údajů prováděné:
- fyzickou osobou v průběhu výlučně osobních či domácích činností;
- státními orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů; členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU; při výkonu činností, které nespadají do oblasti působnosti práva Unie.
Máte ke GDPR dotaz? Pište:
Když uvedete e-mail, budeme vás informovat o zveřejnění odpovědi.