GDPR – zkratka, která firmám v roce 2018 naháněla husí kůži a dodnes s tímto nařízením řada z nich svádí marný boj. Letos se ale GDPR dočká novinek. Rada EU a Evropská komise budou pracovat na jeho vylepšení. O co přesně půjde a jaký to bude mít na dopad na podnikání? To si vysvětlíme na následujících řádcích.
Od přijetí GDPR do české legislativy uplynulo více než 6 let a za tu dobu se s ním přímo i nepřímo setkal snad každý. Přesto si pojďme pro pořádek uvést, co GDPR je a čím se zabývá. Obecné nařízení o ochraně osobních údajů (GDPR) je komplexní soubor pravidel, která definují, jakým způsobem smějí firmy a organizace shromažďovat, používat a chránit osobní údaje fyzických osob v Evropském hospodářském prostoru (EHP).
Koho se GDPR týká:
Firmy a organizace tedy musí proaktivně zavést a udržovat technická a organizační opatření, aby zajistily ochranu osobních údajů a dodržování principů GDPR. V případě porušení GDPR hrozí vysoké pokuty.
→ Tip: Zjistěte, jaké největší pokuty padly za porušení GDPR v prvních letech od jeho zavedení.
V obecném smyslu jsou osobní údaje informace, které vedou k identifikaci konkrétního jedince. Patří sem běžné údaje jako jméno, příjmení, datum narození, adresa, e-mailová adresa, telefonní číslo, IP adresa, fotografie, ale i informace o věku, pohlaví, rodinném stavu a další.
V rámci nařízení GDPR se rozlišují dva typy osobních údajů:
1. Osobní údaje
Jsou to výše uvedené informace, které samy o sobě vedou k identifikaci osoby. Zahrnují také biometrické údaje (otisky prstů, sken obličeje) a genetické informace a mohou se shromažďovat online i offline.
2. Citlivé osobní údaje
Jsou to specifické informace, které vypovídají o intimním a soukromém životě člověka. Patří sem údaje o:
Přestože citlivé osobní údaje samy o sobě nemusí vést k identifikaci osoby, ve spojení s jinými informacemi mohou její identitu snadno odhalit a zneužít. Z tohoto důvodu je jejich ochrana prioritou. Zpracování citlivých osobních údajů tedy podléhá přísnějším pravidlům a vyžaduje zvláštní ochranu.
→ Tip: Mohl by vás zajímat přehled 4 oblastí, které v rámci GDPR musíte ohlídat.
Ačkoliv je podle Rady EU současná úroveň ochrany osobních údajů úspěšná, je potřeba dalších pokynů, které budou reagovat na rozvoj digitalizace a technických nástrojů pro zpracování informací. Evropská komise dokonce vyzvala veřejnost, aby se podělila o své zkušenosti s GDPR z praxe a do 8. února 2024 mohl kdokoliv zaslat k GDPR směrnici EU připomínky či komentáře. Těžko říct, jak moc k nim budou při jednáních přihlížet, ale minimálně tím projevují zájem o názor obyvatel Evropské unie.
Předsedkyně EDPB (Evropský sbor pro ochranu osobních údajů) Anu Talus k ochraně osobních údajů uvedla: „GDPR posílilo, modernizovalo a harmonizovalo zásady ochrany údajů v celé EU. Pokyny EDPB hrály klíčovou roli při informování jednotlivců a podniků o jejich právech a povinnostech podle GDPR. I nadále budeme podporovat implementaci GDPR zejména ze strany malých a středních podniků a obecně zvyšovat povědomí o GDPR. Spolupráce mezi orgány pro ochranu údajů a prosazování GDPR navíc nabraly na síle. Více než kdy jindy se EDPB zavazuje zajistit účinné a konzistentní vymáhání GDPR.“
Už teď se dá odhadnout, že plánované revize GDPR zahrnou několik klíčových oblastí:
Revize byl měla proběhnout ještě letos (2024). V době zveřejnění tohoto článku by měla Evropská komise vydat svoji druhou zprávu o hodnocení obecného nařízení o ochraně osobních údajů.
Už v roce 2020 došlo k prvnímu kolu revizí GDPR legislativy, které byly motivované především roztříštěností implementace mezi jednotlivými členskými státy. Za nesoulad mohly především velké rozdíly v alokovaných zdrojích pro dozorové úřady, které mají na dodržování GDPR dohlížet. EU proto vytvořila soubor nástrojů pro předávání osobních údajů. Stále mezi nimi ale chybí standardizace kodexů chování, závazná podniková pravidla či certifikační mechanismy. Překážkou je pro mnohé firmy také příliš úzký výklad právního titulu „nezbytnosti“ pro splnění smlouvy se zákazníkem.
→ Tip: Mohl by vás zajímat náš stručný průvodce GDPR a ochranou osobních údajů.
Rada žádá Evropskou komisi o přezkoumání současných rozhodnutí o přiměřenosti ochrany dat v dalších státech. Také uznala, že u některých nástrojů pro mezinárodní přenos dat byl příliš složitý přijímací proces, který bránil v jejich využívání, a navrhuje zavedení co nejsrozumitelnější podpory pro jeho usnadnění. Nevyhovující je také mezinárodní přenos dat do třetích zemí.
Důležitým bodem k doplnění, který byl před 6 lety ještě irelevantní, je kompatibilita s novou legislativou o kyberbezpečnosti a ochraně dat. Stejně tak je potřeba doplnit předpisy pro trénování a testování nových AI, IoT a IT aplikací a systémů (to se týká především softwarů, které pracují se speciálními kategoriemi osobních údajů, jako je třeba zdravotní stav).
Rada dále požaduje, aby Komise stanovila jasné pokyny, jak ustanovení GDPR uplatňovat v souvislosti s novými právními předpisy jako DSA, DMA, DGA, Data Act, zákon o umělé inteligenci atd. Také chce upřesnit instrukce k anonymizaci a pseudonymizaci údajů, profilování a bodovému hodnocení. Rovněž i pravidla pro přenositelnost tzv. odvozených údajů, což jsou informace, které správci dat neposkytl přímo subjekt údajů.
Tématem je také vytvoření podrobnějších pokynů pro ochranu nezletilých a zpracování osobních údajů, které jsou určené pro výzkum a archivaci.
V říjnu loňského roku francouzská a německá vláda vyzvaly k tomu, aby GDPR mělo menší dopad na malé a střední podniky, očekává se tedy, že i toto bude součástí změn platné legislativy.
→ Tip: Přečtěte si, jak postupovat při GDPR auditu.
V únoru 2024 také uveřejnil Úřad pro ochranu osobních údajů plán kontrol dodržování GDPR pro letošní rok. Na svém webu uvádí, že se bude zaměřovat především na využívání dat z registru obyvatel orgány veřejné moci, nahrávání telefonických hovorů, zpracování osobních údajů v informačních systémech v rámci Schengenského prostoru, zpracování osobních údajů Policií ČR a rozesílání nevyžádaných obchodních sdělení.
Chtěli byste mít jistotu, že budete vždy v souladu s platnou GDPR legislativou? Pak není nic jednoduššího, než se obrátit na nás. Poskytujeme služby nezávislého DPO a problematikou GDPR jsme provedli více než 150 klientů. Rádi pomůžeme i vám, ať už se řadíte mezi orgány státní správy nebo soukromé společnosti.
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky