Časté obecné dotazy k GDPR

Co je GDPR?

GDPR neboli General Data Protection Regulation je nařízením Evropské unie o ochraně osobních údajů z roku 2016, které vstoupilo v platnost již 25. května 2018. Cílem tohoto nařízení je zvýšit úroveň ochrany osobních údajů a posílit v této oblasti práva občanů Evropské unie.

Co přináší GDPR nového?

GDPR je komplexní regulací v oblasti ochrany osobních údajů a přináší celou řadu nových pojmů, práv (jako jsou práva na přenositelnost informací či právo být zapomenut) a zároveň i povinností (hlásit Úřadu pro ochranu osobních údajů a dotčeným subjektům bezpečnostní incidenty, v souvislosti s osobními daty apod.).

Jaká jsou nová práva subjektů osobních údajů?

Subjekt údajů má právo být informován o zpracování svých osobních údajů, a to zejména o totožnosti správce, účelu zpracování, o oprávněných zájmech a o případných příjemcích osobních údajů. Dalšími právy, založenými na aktivitě subjektu jsou právo na přístup, právo na opravu a doplnění, na výmaz, omezení zpracování, právo na přenositelnost a další.

Jaký je rozdíl mezi směrnicí a nařízením?

Směrnice je právním aktem stanovujícím cíl, který musejí všechny země EU splnit a je na jednotlivých zemích, jak nadefinují příslušné vnitrostátní zákony. Naopak nařízení je právně závazné a platí v celém svém rozsahu v celé Evropské unii. GDPR je nařízením a ne směrnicí!

Na koho se nařízení GDPR vztahuje?

GDPR vstupuje v platnost celosvětově pro všechny subjekty, společnosti, živnostníky, organizace a instituce zpracovávající osobní údaje  zaměstnanců, zákazníků či dodavatelů EU a to ve všech sférách podnikání od bankovnictví, přes internetové obchody až například po zdravotnictví.

Pověřenec pro ochranu osobních údajů (DPO)

Pověřenec pro ochranu osobních údajů (neboli DPO - Data Protection Officer) je osobou, kterou budou muset nově někteří správci dle GDPR jmenovat. Hlavními úkoly pověřence jsou poskytování konzultací správci a monitorování souladu zpracování osobních údajů s GDPR.

Mám / máme povinnost jmenovat DPO (tedy Pověřence pro ochranu osobních údajů neboli Data Protection Officer)?

Jmenování DPO je novou a velice důležitou povinností vyplývající z nařízení o ochraně osobních údajů GDPR. Jmenování DPO je povinné pro orgány veřejné moci a veřejné subjekty (kromě soudů). Týká se Vás ovšem také v případě, že provádíte rozsáhlé, pravidelné a systematické zpracování osobních údajů nebo zvláštních kategorií údajů (např. o zdravotním stavu, politických názorech, sexuální orientaci apod.). Máte povinnost jmenovat DPO?

Jaké jsou postihy při nedodržování nařízení?

GDPR zavádí sankce za nedodržení nařízení, a to dle rozsahu a závažnosti až do výše 4 % z celkového obratu společnosti nebo až 20 milionů EUR. V případě nesouladu s požadavky ovšem riskujete také ztrátu reputace, zákazníků, případně při naplnění znaků dle trestního zákoníku, také trestní odpovědnost jako fyzická či právnická osoba.

Co obnáší "Souhlas se zpracováním osobních údajů"?

Souhlas je pro správce jedním z právních důvodů pro zpracování osobních údajů. Souhlas je vždy poskytován ke konkrétnímu účelu zpracování (např. pro zasílání nevinek). Ke dni 25.5.2018 musí být stávající souhlasy uvedeny do souladu s GDPR, případně by mělo být zastaveno zpracování osobních údajů za daným účelem.

Osobní údaje dle GDPR

Osobní údaje jsou jakékoliv informace týkající se identifikovaného nebo identifikovatelného subjektu osobních údajů. Subjekt osobních údajů je identifikovaný nebo identifikovatelný, pokud lze subjekt přímo či nepřímo identifikovat, a to na základě jednoho či více údajů, specifických pro jeho identitu. Prodáváte-li tedy na Vašem eshopu boty, pak lze považovat i velikost boty za osobní údaj a to v případě, že jste schopní si tuto informaci spojit s konkrétní osobou. Pokud ovšem máte jen číslo bot, pak se o osobní údaj nejedná. Zvláštní kategorií osobních údajů s přísnějším režimem jsou pak citlivé osobní údaje.

Citlivé osobní údaje dle GDPR

Citlivé osobní údaje jsou zvláštní kategorií osobních údajů. Jejich zpracování věnuje GDPR větší pozornost. Jsou to např. údaje o rasovém či etnickém původu, politických názorech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Patří sem nově také genetické, biometrické a osobní údaje dětí. 

Kdo je dle GDPR správce?

Správce osobních údajů odpovídá za dodržování všech povinností vyplývajících z nařízení GDPR a obecně také za zpracování osobních údajů. Správce je každý subjekt, ať už firma, či fyzická osoba, která určuje účely a prostředky zpracování osobních údajů (mimo výjimky zpracování v rámci osobní a domácí činnosti). Správce musí být schopen prokázat řádný právní důvod zpracování osobních údajů. Jako provozovatel živnosti/podnikání jste tedy v kontextu GDPR správce.

Kdo je dle GDPR zpracovatel?

Zpracovatelem osobních údajů je subjekt (právnická či fyzická osoba, orgán veřejné moci apod.), který jménem správce provádí operace, kterými jej tento správce pověřil. Zpracovatel může být zároveň i správcem a to např. pro osobní údaje svých vlastních zaměstnanců. K vymezení povinností a odpovědností mezi správcem a zpracovatelem slouží tzv. zpracovatelská smlouva. Zpracovateli tak mohou být například marketingové či účetní agentury, daňový poradce apod.

Co je zpracovatelská smlouva?

Zpracovatelskou smlouvu uzavře správce se zpracovatelem. Povinnost tuto smlouvu vyhotovit není nová a nevyplývá pouze z GDPR ale zároveň také ze zákona o ochraně osobních údajů. Ve smlouvě je třeba výslovně uvést v jakém rozsahu, jakých osobních údajů se zpracování týká, na jakou dobu a za jakým účelem se smlouva uzavírá. Dále musí obsahovat povinnosti a práva správce i zpracovatele a také záruky zpracovatele o technických a organizačních opatřeních pro zabezpečení ochrany osobních údajů.

Co je profilování?

Za profilování lze považovat jakékoliv automatizované zpracování osobních údajů, během kterého dochází k vyhodnocování různých aspektů chování subjektů osobních údajů. Za profilování lze považovat například vyhodnocování chování, pohybu či zájmů subjektu osobních údajů, pracovního výkonu zaměstnance, vyhodnocování finanční situace zákazníka pro schválení úvěru či vyhodnocení zdravotního stavu pacienta atd.

Účely zpracování osobních údajů

Osobní údaje může správce či zpracovatel zpracovávat pro různé účely a z různých právních důvodů zpracování. Zpracování osobních údajů je vždy vázáno na účel, na jehož základě je také stanoven právní důvod zpracování.

Jaké jsou právní důvody zpracování osobních údajů?

Právní důvody zpracování osobních údajů jsou nezbytným oprávněním pro správce, aby tyto osobní údaje mohl zpracovávat. Správce může zpracovávat osobní údaje pro různé účely. Pro každý z těchto účelů potřebuje pro zpracování právní důvod. Typickými právními důvody pro zpracování osobních údajů je plnění smlouvy či souhlas od subjektu údajů. V případě, že správce pozbude právní důvod, pak má povinnost osobní údaje zlikvidovat.

Posouzení vlivu na ochranu osobních údajů (DPIA)

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment - DPIA) provede správce před zpracováním osobních údajů, pokud je pravděpodobné, že bude mít daný druh zpracování za následek vysoké riziko pro práva a svobody subjektů. Zpracování této analýzy se tak nebude týkat obecně všech. Kdy Vám vzniká povinnost posouzení vlivu zpracovat?

Kontaktujte nás, pokud si s čímkoliv nevíte rady. Úvodní konzultaci poskytujeme ZDARMA.

*Údaje z formuláře použijeme pouze ke komunikaci ohledně Vaší poptávky nebo ke zodpovězení dotazu.