dnes je 29.3.2024

Input:

Deset otázek a odpovědí ke GDPR

27.4.2018, Zdroj: Ministerstvo vnitra Doba čtení: 8 minut

Níže naleznete deset otázek a odpovědí k novému obecnému nařízení o ochraně osobních údajů – známému pod zkratkou GDPR. Připomeňme, že nové nařízení je platné od 25. 5. 2018.

  1. Co je GDPR, proč vzniklo a kdy začne platit?

Obecné nařízení o ochraně osobních údajů (známé též pod anglickou zkratkou GDPR – General Data Protection Regulation) je přímo použitelný předpis Evropské unie. To znamená, že místo stávajícího zákona o ochraně osobních údajů se práva a povinnosti při zpracování osobních údajů budou řídit přímo tímto Obecným naří­zením. Nová pravidla o ochraně osobních údajů se tak zásadně nebudou přepisovat do českého práva.

Obecné nařízení bude platit od 25. května 2018, a to ve všech členských státech EU. Cílem je totiž zajistit stejné podmínky ochrany osobních údajů v rámci celé EU, což mělo ušetřit podnikům právní náklady na plnění různých národních předpisů. Ochrana soukromí fyzických osob je základním právem občana EU. Zjednodušeně lze konstatovat, že o každém z nás se zpracovává v důsledku technologického po­kroku velké množství osobních údajů, aniž si to uvědomujeme. Cílem jednotné evropské ochrany dat je zajistit, aby naše data byla chráněna stejně.

  1. V čem je hlavní odlišnost od platného zákona o ochraně osob­ních údajů?

Právní předpisy pro ochranu osobních údajů platí již dnes a již dnes se vztahují na každého správce. Nařízení stanoví na platné směrnici z roku 1995, kterou u nás provádí zákon o ochraně osobních údajů (101/2000 Sb.). Jinými slovy, při zpraco­vání osobních údajů již platí řada povinností podle stávajících předpisů. Některé povinnosti Obecné nařízení rozšiřuje (zejm. ty informační) a další povinnosti sta­nov. Mezi ty hlavní patří:

  • rozšíření práva na výmaz („právo být zapomenut“),
  • v některých případech zajistit, aby dotčená osoba mohla údaje přenést k jinému správci (přenositelnost),
  • před zpracováním i při něm si počínat co nejšetrněji (záměrná ochrana osobních údajů),
  • hlásit hackerské útoky a jiné případy, kdy bylo porušeno zabezpečení dat, Úřadu pro ochranu osobních údajů (dále ÚOOÚ) a v některých případech i dotčeným osobám,
  • v některých případech jmenovat pověřence pro ochranu osobních údajů,
  • jiná výše pokut.

Na zpracovatele tyto a další povinnosti budou dopadat v různé míře, v závislosti na tom, jak riziková zpracování osobních údajů provádějí.

Oba předpisy mají hodně společného – nemění se základní definice, základní povin­nosti a práva ani dozorová role ÚOOÚ.

  1. Na koho se vztahuje a na koho nevztahuje GDPR?

Obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na všechny úřady, podniky i jednotlivce, kteří zpracovávají na území Evropské unie osobní údaje nebo o takovém zpracování rozhodují. Na některé důležité oblasti lidské činnosti se ale GDPR nevztahuje:

  • čistě osobní nebo domácí zpracování (videa s rodinnými příslušníky, fo­toalba, osobní adresáře a korespondence, bezpečnostní kamery zabírají­cí jen vlastní soukromé prostory apod.),
  • zpracování mimo působnost práva EU (např. činnost zpravodajských slu­žeb a obranných zařízení),
  • činnost orgánů činných v trestním řízení a podobných bezpečnostních orgánů (policie, státní zastupitelství, věznice apod.).

GDPR se vztahuje i na osoby a podniky, které mimo území Evropské unie provádějí zpracování údajů o lidech, kteří se nacházejí v Evropské unii, pokud jim při tom nabízejí zboží nebo služby nebo monitorují jejich chování.

  1. Co je osobní údaj, je někde jejich seznam?

Osobním údajem je informace, která se týká určené nebo přímo či nepřímo určitelné fyzické osoby. Obecně se tak jedná o jakoukoliv informaci, která se určeného nebo určitelného člověka týká, na základě které ho dokáže správce, zpracovatel nebo kdokoliv jiný identifikovat. Není nikde kompletní seznam osobních údajů, např. se však jedná o jméno, datum narození, ale i jednoznačný identifikátor osoby, foto­grafie. Údaj vždy směřuje k identifikaci osoby nebo se týká identifikované osoby.

 

  1. Kdo je subjekt údajů a jaká práva má?

Subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují. Mezi nová práva patří právo na přenositelnost údajů mezi jednotlivými správci. Rozšířeno bylo prá­vo na výmaz údajů.

 

  1. Kdo je správce a kdo je zpracovatel?

Správcem je osoba, která v rámci vykonávání své činnosti zpracovává osobní úda­je. Musí proto mít prostředky pro jejich zpracování, tedy cíl dané činnosti (např. ochrana majetku pomocí kamerového systému). To znamená, že správce stanovuje důvod, proč se osobní údaje zpracovávají a jakým způsobem, tedy konkrétní způso­by zpracování (nástroj, který bude pro zpracování použit).

Zpracovatel pak zpracovává osobní údaje pro správce, sám však neurčuje účel a pro­středky zpracování údajů.

 

  1. Kdy mohu zpracovávat osobní údaje?

Obdobně jako ve stávajícím zákoně o ochraně osobních údajů bude i podle GDPR platit šest právních základů pro zpracování osobních dat:

    • Souhlas subjektu údajů (tedy toho člověka, kterého se údaje týkají. Např. vyjádřím souhlas s tím, aby se pro marketingové účely zpracovávaly moje údaje). Pokud byl souhlas vyjádřen svobodně, konkrétně, informovaně a jednoznačně, není potřeba vyžadovat nové souhlasy se zpracováním osobních údajů.
    • Smlouva nebo
Nahrávám...
Nahrávám...