Skip to main content

GDPR

TL; DR

Obecné nařízení o ochraně osobních údajů (GDPR)je jedním z nejpřísnějších zákonů na ochranu soukromí a bezpečnosti na světě. Nařízení sice bylo navrženo a schváleno Evropskou unií, ale ukládá povinnosti organizacím bez ohledu na to, kde působí, pokud se zaměřují na lidi v EU nebo o nich shromažďují údaje. Nařízení nabylo účinnosti dnem 25. května 2018. GDPR účtuje pokutytěm, kteří poruší jeho standardy ochrany soukromí a zabezpečení, se sankcemi ve výši desítek milionů eur.

Co je GDPR?

GDPR (General Data Protection Regulation) je zákon pro legislativu Evropské unie o ochraně dat a soukromí v EU a EHP a předávání osobních údajů mimo EU a EHP. Hlavním účelem GDPR je poskytnout jednotlivcům kontrolu nad jejich osobními údajia zjednodušit regulační prostředí pro mezinárodní záležitosti sjednocením zákonů na ochranu soukromí v Evropské unii. Nařízení je povinnéa všechny organizace, které vlastní nebo zpracovávají osobní údaje, se musí řídit.

Pravidla vstoupila v platnost 25. května 2018 a byla zohledněna v zákoně o ochraně osobních údajů z roku 2018. Nařízení se vztahuje jak na „provozovatele“, tak na „zpracovatele údajů“ a vztahuje se na stará pravidla, která byla konsolidována, a také na řadu nových práv pro subjekty údajů.

Co jsou osobní údaje?

Osobní údaje jsou údaje, které se vztahují k osobě, kterou lze přímo nebo nepřímo identifikovat, a které jsou:

  • elektronicky zpracované;
  • uchovávané v archivech;
  • součást dostupného souboru informací, například vzdělávacích informací;
  • v držení orgánu veřejné moci;
  • nemusí být nutně konkrétní, ale vedou k jejich identifikaci;
  • Příklady: jméno, e-mailové adresy, poloha, náboženství, etnická příslušnost, pohlaví, údaje uložené ve webových souborech cookie, adresy IP, politické názory, biometrické údaje atd.

Principy GDPR

Osobní údaje by měly být zpracovávány spravedlivě, legálně a transparentně.

  • Údaje by měly být shromažďovány pro definované a legitimní účely a neměly by být dále zpracovávány způsobem neslučitelným s těmito účely.
  • Údaje by neměly být nadměrné, zpracovávat pouze tolik údajů, kolik je nezbytně nutné.
  • Údaje musí být správné a v případě potřeby aktualizované.
  • Data by neměla být uchovávána déle, než je nutné.
  • Data musí být zabezpečena.
  • Manažeři jsou zodpovědní za typ osobních údajů, které shromažďují a jak je používají. Zaměstnanci by neměli zveřejňovat osobní údaje mimo postupy organizace ani používat osobní údaje jiných osob pro své vlastní účely.

Na koho se GDPR vztahuje?

GDPR se vztahuje na jakoukoli organizaci působící v EU, stejně jako na jakoukoli organizaci mimo EU, která poskytuje zboží nebo služby zákazníkům nebo podnikům z EU. To zahrnuje jakékoli webové stránky, které shromažďují přímo, pro svůj vlastní účel nebo nepřímo pro aplikace a nástroje třetích stran (např. Google Analytics) údaje o svých návštěvnících.

Osoba, která má údaje o jiné osobě na osobní úrovni, například telefonní číslo člena rodiny uložené v telefonu, nebude muset u těchto údajů uvažovat o GDPR.