Obecně o GDPR

Co je obecné nařízení o ochraně osobních údajů GDPR?

GDPR je zkratka pojmu General Data Protection Regulation. Toto nařízení výrazným způsobem přepracovává legislativu o ochraně osobních údajů. Je jedním z nejrozsáhlejších právních předpisů, které Evropská unie v posledních letech přijala. Nařízení je platné od 26. května 2018 v celém svém rozsahu ve všech státech EU. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

Cílem GDPR je chránit digitální práva občanů EU. GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Nařízení GDPR také dává národním regulátorům nové pravomoci uvalit významné sankce na organizace, které tento zákon poruší.

Co jsou osobní údaje?

Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav nebo také IP adresu. Protože se GDPR vztahuje i na podnikající fyzické osoby, zahrnují se mezi osobní údaje i tzv. organizační údaje. Jsou to například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem (IČO, DIČ).

Zvláštní kategorií osobních údajů jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Co patří k hlavním požadavkům nařízení GDPR?

Nařízení GDPR ukládá celou řadu požadavků organizacím, které shromažďují a zpracovávají osobní údaje, včetně povinnosti splňovat šest základních principů:

  • transparentnost, poctivost a dodržování zákonů při manipulaci s osobními údaji a při jejich používání
  • omezení zpracovávání osobních údajů pouze na stanovené, výslovně uvedené a opodstatněné účely
  • shromažďování a ukládání minimálního množství osobních údajů nezbytného pro konkrétní účel
  • zajišťování přesnosti údajů a poskytování možnosti jejich opravy či vymazání
  • omezení ukládání osobních údajů
  • zajištění zabezpečení, soudržnosti a důvěrnosti osobních údajů

Povinnosti institucí a firem

Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uvádíme některé z povinností:

  • implementace záměrné a nezbytné ochrany dat
  • jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • vedení záznamů o činnostech zpracování

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.

Výjimky z povinnosti vedení záznamů činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Hlavním termíny v nařízení GDPR

  • správce údajů: Správce je fyzická nebo právnická osoba, veřejná instituce, úřad nebo jiný orgán, který samostatně nebo ve spojení s dalšími určuje, jak a proč jsou údaje zpracovávány.
  • zpracovatel údajů: Zpracovatel je fyzická nebo právnická osoba, veřejná instituce, úřad nebo jiný orgán, který jménem správce údajů zpracovává osobní údaje.
  • osobní údaje: Jakékoli informace související s identifikovanou nebo identifikovatelnou fyzickou osobou, také nazývanou subjekt údajů. Osobu je možné identifikovat přímo či nepřímo na základě odkazu na identifikátor, jako je jméno, rodné číslo, údaje o umístění či online identifikátor nebo na základě specifických faktorů týkajících se fyzické, fyziologické, genetické, duševní, ekonomické, kulturní či sociální identity.
  • zpracování: Znamená jakoukoli operaci nebo sadu operací provedených s osobními údaji nebo sadami osobních údajů, a to automatizovaně nebo ručně. Mezi tyto operace patří například shromažďování, zaznamenávání, strukturování, ukládání apod.
  • pseudonymizace: Úkon zpracování osobních údajů takovým způsobem, že dané osobní údaje již není možné přiřadit ke konkrétnímu subjektu údajů bez použití dalších informací za předpokladu, že tyto informace jsou uchovávány odděleně. Podrobný popis hlavních termínů je uveden v Článku 4 nařízení GDPR.

Jak se nařízení GDPR dotýká zabezpečení?

Na základě nařízení GDPR musí správce dat přijmout opatření, která zajistí bezpečí osobních údajů. Mezi tato opatření patří „organizační opatření“, jako je například omezení počtu osob, které mají přístup k osobním údajům, a „technická opatření“, jako například šifrování.

Nařízení GDPR neuvádí ani nepředepisuje konkrétní bezpečnostní opatření, která musí správce dat přijmout. Očekává se, že sám rozhodne o potřebných bezpečnostních opatřeních na základě faktorů, jako je charakter osobních údajů, které shromažďuje, jejich citlivost a rizika spojená s jejich zpracováváním.

Je třeba zvážit různé typy bezpečnostních rizik. Mezi nejběžnější z nich patří fyzické vniknutí, nepoctiví zaměstnanci, náhodná ztráta nebo online hackeři. Jestliže chcete zajistit dodržování předpisů, je vhodné vytvořit plán řízení rizik a provést kroky k jejich zmírnění.

Co vyžaduje nařízení GDPR, pokud dojde k průniku k datům?

Nařízení GDPR definuje „porušení zabezpečení osobních údajů“ jako „porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.“

V případech porušení zabezpečení má správce dat povinnost ohlásit tuto skutečnost dozorovému úřadu do 72 hodin od zjištění takového případu (s výjimkou případů, kdy je nepravděpodobné, že by tento únik měl za následek riziko pro práva a svobody fyzických osob). Povinnost upozornit na takový případ má správce dat i osoby, o kterých data unikla, pokud jim z důvodu porušení zabezpečení hrozí významné riziko poškození.

Co to znamená být transparentní"?

Správce dat musí čestně a jasně vysvětlit, proč a jak zpracovává osobní údaje fyzických osob. Nařízení GDPR obsahuje podrobné informace o tom, co se musí soukromým osobám sdělit o zpracovávání jejich osobních údajů. Mezi tyto informace patří mimo jiné:

  • proč dochází ke zpracování osobních údajů
  • jak dlouho bude správce dat tyto údaje ukládat (nebo kritéria, na základě kterých určuje, jak dlouho potřebuje údaje ukládat);
  • s kým budou osobní údaje sdíleny
  • jestli budou osobní údaje přenášeny mimo Evropský hospodářský prostor