Co je GDPR

Evropské nařízení General Data Protection Regulation (GDPR) přináší nová pravidla ochrany údajů. Od května 2018 občané získávají větší kontrolu nad svými údaji a podniky mají prospěch z rovných podmínek. Tím definitivně zaniká zákon na ochranu osobních údajů 101/2000Sb. Bude platit nový soubor pravidel pro všechny společnosti působící v EU, ať sídlí kdekoliv.

    Koho se týká

    Díky EU nařízení o ochraně osobnách dat vznikají nové adaptační zákony a ruší se ty, co souvisí se zákonem 101/2000Sb.

    GDPR direktiva přenáší na organizace a jejich pracovníky celou řadu nových povinností. Je to například jmenování DPO (Data Protection Officer), resp. u nás Pověřenec pro ochranu osobních údajů. Povinnost auditu DPIA (Data Protection Impact Assessment) a povinnost hlášení incidentů na ÚOOÚ. Jakýkoliv subjekt, jehož data ukládáte bude mít od 25. května obrovská práva, např. být zapomenut. Zcela likvidační jsou pokuty.

    Koho se týká

    GDPR Regulace

    Evropská Unie vydala nařízení, jehož účelem je regulace ochrany osobních údajů - General Data Protection Regulation.

    Tato směrnice znamená revoluci v přístupu k zejména k ukládání, ale upravuje i další nakládání s osobními informacemi. Zasahuje tak všechny společnosti, které zpracovávají osobní data pro vlastní účely, nebo třetím stranám.

    GDPR Regulace

    Co jsou osobní údaje

    Osobní údaje jsou i zdánlivě banální data, např. jméno, adresa, telefon. 

    Mezi další kritická data patří GPS pozice, zdravotní údaje a mnoho dalších informací, které identifikují, nebo popisují konkrétního jedince.

    Co jsou osobní údaje

    GDPR EUR Lex

    Aktuální verzi GDPR nařízení, právních předpisů a dalších dokumentů najdete na webové službě EUR-Lex

    Provozovatelem je Úřad pro publikace Evropské Unie. V předpisech je možno vyhledávat podle názvu, čísla dokumentu, celexového čísla apod.

    GDPR EUR Lex

    Základní principy regulace

    Právo být zapomenut
    Right to be forgotten

    Snazší přístup k datům
    Easier access to one's data

    Právo na přenositelnost dat
    Right to data portability

    Ochrana dat jako základní požadavek na design a výchozí stav
    Security by design and by default

    Snazší vymahatelnost práva
    Stronger enforcement of the rules

    Informovanost v případě bezpečnostního incidentu
    The right to know when one's data has been hacked.

    Sankce až 20.000 000 €

    V případě porušení/nedodržení povinností nebo odmítnutím spolupráce se státním kontrolním orgánem, se zpracovatel dat vystavuje sankci až do hodnoty 20 mil. EUR případně do 4% celosvětového ročního obratu společnosti. Sankci je samozřejmě možné uložit opakovaně.

    Sankce až 20.000 000 €

    Vše o GDPR ve 20 minutách

    Spoluautor kurzu Pověřenec pro ochranu osobních údajů, GDPR Approved Trainer


    Platnost GDPR

    Účinnost GDPR začíná v květnu 2018. Do té doby musíte s největší pravděpodobností vyřešit hned několi úkolů: absolvovat kurz Pověřenec pro ochranu osobních údajů, provést GDPR Audit a zajistit shodu s Obecným nařízením pro ochranu osobích údajů - GDPR Compliance. S tím vám pomůžou šablony obsažené v GDPR Accelerator Toolkit

    Článek 38

    Postavení pověřence pro ochranu osobních údajů

    Vycházející z Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

    1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

    2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

    3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

    4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.

    5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.

    6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.

    Článek 39

    Úkoly pověřence pro ochranu osobních údajů

    1. Pověřenec pro ochranu osobních údajů vykonává alespoň tyto úkoly

    a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;

    b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

    c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;

    d) spolupráce s dozorovým úřadem a

    e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.

    2. Pověřenec pro ochranu osobních údajů bere při plnění svých úkolů patřičný ohled na riziko spojené s operacemi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.

    Správce osobních údajů

    Povinností Správce je dodržování pravidel tak, jak jsou stanovena v Obecném nařízení

    Jde zejména o agendu zpracování osobních údajů v souladu s GDPR. V případě potřeby (kontroly, auditu) musí být Správce schopen doložit dodržování těchto procesů. Aby mohl Správce osobní údaje zpracovávat, musí nejprve

    • dostatečně zabezpečit osobní údaje
    • disponovat Právním důvodem zpracování osobních údajů
    • plnit další povinnosti stanovené EU Nařízením GDPR (které vás naučíme v tomto školení)
    Správce osobních údajů

    Chcete získat dárek k narozeninám?