GDPR

GDPR – General Data Protection Regulation

Obecné nařízení o ochraně osobních údajů, označované jako GDPR (General Data Protection Regulation), představuje právní rámec ochrany osobních údajů platný na celém území Evropské unie. Obecné nařízení o ochraně osobních údajů je přímo použitelné. Platí tedy na území členských států Evropské unie, včetně České republiky bezprostředně. Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, vstoupí v účinnost dne 25. května 2018, kdy nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů.

Nařízení Evropského parlamentu je přímo závazné pro členské státy EU, je nadřazené národní legislativě.

Reguluje zpracování osobních údajů fyzických osob (občanů). Do stávajících systémů ochrany osobních dat zavádí řadu nových povinností a zpřísňuje pravidla jejich správy. Nová právní úprava určuje, jak se mají shromažďovat, ukládat, zpracovávat a sdílet data o zaměstnancích a fyzických osobách.

Celé znění Nařízení Evropského parlamentu a Rady (EU) 2016/679 ke stažení v češtině  ZDE

Co je účelem GDPR?

Chránit práva osob, které správcům a zpracovatelům poskytují své osobní údaje.  

Co přináší nového?

  • konsoliduje existující pravidla o ochraně osobních údajů napříč 28 členskými státy
  • nahrazuje stávající zákon č.101/2000 Sb. o ochraně osobních údajů
  • nenahrazuje oborově specifické zákony a úpravy
  • práva a povinnosti jsou platné i pro Non – EU organizace, které pracují s údaji o občanech EU
  • zavádí nově pozici Pověřenec pro ochranu osobních údajů

Co jsou osobní údaje?

Osobním údajem jsou veškeré informace vztahující se k identifikované nebo identifikovatelné osobě:

  • obrazové, slovní, rentgenové snímky, IP adresa, Cookies, atp.
  • vztah daný obsahem – jméno, adresa, pracovní pozice, atp.
  • výběr vyčleněním.

Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě

  • Nevztahují se na osobní údaje zesnulých osob nebo anonymizované údaje
  • Vztahuje se i na šifrované osobní údaje

Co jsou osobní citlivé údaje?

Citlivými osobními údaji jsou údaje osob, které spadají do zvláštních kategorií osobních údajů. Jsou to údaje, které vypovídají o:

  • rasovém či etnickém původu,
  • politických názorech,
  • náboženském vyznání či filozofickém přesvědčení
  • členství v odborech,
  • zpracování genetických údajů,
  • biometrických údajů za účelem jedinečné identifikace fyzické osoby
  • údajů o zdravotním stavu
  • sexuálním životě
  • sexuální orientaci fyzické osoby

Kdy mohou být zpracovávány vaše osobní údaje?

Zpracováním jsou jakákoliv operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících ve:

  • shromáždění
  • zaznamenání
  • uspořádání
  • uložení
  • přizpůsobení nebo pozměnění
  • vyhledávání
  • nahlédnutí
  • použití
  • zpřístupnění přenosem
  • šíření nebo jakékoliv zpřístupnění
  • zkombinování či seřazení
  • omezení
  • výmaz nebo zničení

Kdy mohou být zpracovávány vaše citlivé osobní údaje?

  • na základě výslovného souhlasu osoby se zpracováním těchto osobních citlivých údajů
  • zpracování je nezbytné v oblasti práva, zabezpečení a ochrany
  • zpracování je nutné pro ochranu životně důležitých situací osoby
  • zpracování sleduje politické, filozofické, náboženské nebo odborové cíle
  • zpracování se týká údajů již zveřejněných danou osobou
  •  zpracování je nezbytné pro obhajobu právních nároků nebo v rámci soudního řízení
  • z důvodu veřejného zájmu na základě práva EU nebo národního práva
  • pro účely preventivního lékařství, posouzení pracovní schopnosti zaměstnance, veřejného zájmu v oblasti veřejného zdraví
  • zpracování pro účely vědeckého, historického výzkumu nebo statistické účely

Kdo je správce nebo zpracovatel?

Správce

  • Fyzická nebo právnická osoba, která sama nebo spolu s jinými určuje účel a způsoby zpracování

Zpracovatel

  • Fyzická nebo právnická osoba, které zpracovává data jménem správce

Správce a zpracovatel je povinen vést tyto záznamy, které by měly obsahovat:

  • Název a kontaktní údaje správce
  • Důvod zpracování údajů
  • Popis kategorií subjektů údajů a osobních údajů
  • Kategorie dalších subjektů, které údaje obdrží
  • Přenos údajů do jiné země či organizace
  • Lhůtu pro odstranění údajů
  • Popis bezpečnostních opatření uplatňovaných při zpracovávání

Komunikace:

Komunikace by měla probíhat srozumitelně a jednoduše. Když po vás někdo požaduje vaše údaje, musí vám sdělit, kdo je, proč vaše údaje zpracovává, jak dlouho je budete uchovávat a kdo konkrétně je získá.

Souhlas:

Pokud je k získání a dalšímu zpracování vašich údajů nutný váš souhlas, musí si od vás vyžádat jednoznačný souhlas se zpracováním údajů. Souhlas není požadován pouze při plnění zákonných povinností, typicky pro potřeby úřadů a dalších orgánů veřejné moci

Přesnost a přenositelnost:

Nově nařízení umožňuje lidem, aby měli ke svým údajům přístup a mohli je poskytnout jiné společnosti.

V případě hrozby rizik:

Hrozí-li občanovi v souvislosti s narušením bezpečnosti údajů vážné riziko, musí o tom být informován.

Právo na vymazání údajů:

Občané mají nově právo „být zapomenut“. Požádají-li o to, jejich osobní údaje musí být vymazány – avšak pouze v případě, že to nenaruší svobodu projevu či možnosti zkoumání nebo plnění smluvních závazků a právních povinností.

Profilování:

Pokud při zpracovávání žádostí vedoucích k uzavření právně závazné smlouvy (např. v případě půjček) využívají komerční nebo jiné společnosti profilování, musí o tom své zákazníky informovat. V případě, že bude žádost zamítnuta, musí společnost zajistit, aby celý postup kontroloval člověk, nikoli přístroj. Žadatel bude mít právo rozhodnutí napadnout.

Marketing:

Nařízení GDPR dává občanům právo nepřistoupit na přímý marketing, který využívá jejich údaje.

Ochrana citlivých údajů:

Na citlivé osobní informace o občanovi např. o zdraví, rase, sexuální orientaci, náboženském a politickém přesvědčení, je uplatňována vysoká ochrana těchto údajů.

Přenos údajů mimo EU:

Pokud kdokoliv přenáší údaje občana EU do zemí neprověřených orgány EU, musí k tomu mít důvod, o této skutečnosti musí občana informovat a přijmout příslušná právní opatření, kterými budou údaje zabezpečeny proti neoprávněnému užití.

Informační webové stránky

Ministerstvo vnitra připravilo pro zájemce z řad veřejné správy nové internetové stránky k problematice ochrany osobních údajů. Na webových stránkách naleznete kromě právních předpisů, metodická doporučení, odpovědi na nejčastější otázky stejně jako odkazy na další relevantní informace a zainteresované instituce. Zveřejněny jsou také vzdělávací pomůcky.

Další užitečné odkazy

Webové stránky Úřadu pro ochranu osobních údajů (obsahují příručku GDPR, otázky a odpovědi, dokumenty k GDPR a další užitečné informace).

Webové stránky Evropské komise obsahující základní informace o GDPR, informační letáky k různým aspektům a dopadům GDPR a přehledovou infografiku (vše v češtině).