Co je to GDPR? Pro některé jde o jeden z nejambicióznějších a nejinovativnějších zákonů zabývajících se ochranou osobních údajů, pro mnoho organizací je ovšem strašákem. Za porušení GDPR totiž hrozí až likvidační pokuty. Na GDPR nařízení se dnes proto podíváme poněkud šířeji a vysvětlíme, v čem se nejčastěji chybuje, abyste žádným sankcím čelit nemuseli.
Co znamená GDPR? Jedná se o zkratku General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů. Jde o právní rámec ochrany osobních údajů v evropském prostoru (resp. prostoru EU) v rozsahu 88 stran (11 kapitol a 99 článků), který definuje pravidla pro zpracování osobních údajů, a to včetně práv subjektu údajů (tj. fyzických osob – občanů EU).
GDPR nařízení vychází z evropské směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (v ČR tuto směrnici odrážel zákon č. 101/2000 Sb., o ochraně osobních údajů). Směrnice 95/46/ES nebyla ovšem ve všech zemích Evropské unie uspokojivě sjednocená v rámci lokálních legislativ, a navíc ji, takříkajíc, „dohnal čas“ – nepočítala s technickými prostředky a metodami zpracovávání osobních údajů odpovídajícími současné době. Kvůli tomu ani nezaručovala dostatečnou ochranu fyzických osob a jejich práv.
Bylo tedy zapotřebí přijít s něčím „fortelnějším“, nařízením, které zaručí:
GDPR nařízení si kladlo za cíl nastavit standardy pro bezpečnou regulaci datových toků, ovšem od začátku mělo vytvořit především právní základ pro bezpečné užívání technologií občany EU.
GDPR nabylo právní účinnosti před cca 5,5 roky, konkrétně tedy platí od 25. 5. 2018. Ve stejný den GDPR nahradilo dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů (ten byl posléze zcela zrušený 24. 4. 2019).
V současnosti rámec GDPR nařízení dotváří zákon č. 110/2019 Sb., o zpracování osobních údajů, který definuje přímo použitelné obecné nařízení. Samotné nařízení GDPR se od svého zavedení již třikrát aktualizovalo.
Od vstupu GDPR v platnost v rámci celé EU uložily příslušné úřady pro ochranu osobních údajů za porušení GDPR pokuty přes 2,5 miliardy eur (tj. cca 63 miliard Kč).
→ Tip: Mohlo by vás zajímat, jak jsme zavedli GDPR ve společnosti CHOCOLAND.
Víme tedy, od kdy platí GDPR, ale jak to vypadá s budoucími úpravami a na koho budou mít dopad? Co týče novinek v GDPR pro rok 2024, jsou zde jen velmi drobné úpravy, které souvisí s novelou zákona č. 301/2000 Sb., o matrikách, jménu a příjmení – na jednotlivce (OSVČ) a soukromé společnosti tedy nebudou mít žádný dopad.
Na evropské úrovni se chystá nová legislativa, ovšem kdy vstoupí v platnost, je prozatím otázkou – zatím nebyl oznámený ani orientační termín. Jejím cílem je harmonizovat některé postupy spolupráce mezi orgány pro ochranu údajů v přeshraničních případech (tj. mezi členskými zeměmi). Těch bylo od roku 2018 více než dva tisíce.
U jednotlivců by měla nová legislativa vyjasnit, co musí předložit při podávání stížnosti, a zajistí, že budou do procesu náležitě zapojení. Co se týče podniků, nová pravidla vyjasní jejich práva na řádný proces v případech, kdy příslušný úřad pro ochranu osobních údajů bude vyšetřovat možné porušení GDPR.
Celkově by mělo jít o zefektivnění spolupráce relevantních stran při řešení sporů a nastavení jakéhosi zlatého standardu ochrany osobních údajů doma i v zahraničí.
→ Tip: Podívejte se, jaké největší pokuty padly za porušení GDPR v prvních letech od jeho zavedení.
Ohlédli jsme se do historie, nastínili jsme i budoucí výhled. Jaká je současnost a na co byste si měli při zpracovávání osobních údajů dávat pozor? Jak jsme už zmínili výše, GDPR nařízení je poměrně rozsáhlé, a navíc je třeba brát v potaz i doplňující zákon č. 110/2019 Sb., o zpracování osobních údajů. Pokud bychom měli maximálně zestručnit hlavní myšlenku, zněla by takto:
GDPR nařízení:
GDPR nařízení je závazné v celém rozsahu ve všech členských státech EU. Vztahuje se na jakékoliv zpracování osobních údajů (tedy automatizované i neautomatizované) s několika výjimkami, kdy se osobní údaje zpracovávají:
Než si rozebereme jednotlivé body více do hloubky, pojďme si alespoň stručně vymezit ty nejzákladnější pojmy související s GDPR nařízením.
Přesnou definici všech klíčových výrazů najdete v článku 4 odst. 1 obecného nařízení. My níže uvedeme ty základní:
→ Tip: Víte, že DPO od Algotechu za vás zajistí komunikaci s úřady a součinnost při kontrolách GDPR?
GDPR nařízení poskytuje všem občanům EU následující práva:
→ Tip: Přečtěte si o bezpečnosti CRM systémů včetně zajištění požadavků GDPR nařízení v CRM.
Správci/zpracovatelé osobních údajů by se dle GDPR nařízení měli řídit těmito hlavními zásadami:
→ Tip: Projděte si „GDPR check-list“ všech oblastí, které musíte ohlídat.
Tyto obecné zásady můžeme rozepsat na konkrétní tipy, jak byste jako správci měli s osobními údaji zacházet. Současně jde o oblasti, ve kterých se při dodržování GDPR nařízení nejčastěji chybuje:
→ Tip: Podívejte se na další častá pochybení a omyly v GDPR, které jsme uvedli v článku GDPR novinky v roce 2023.
Všechny organizace a společnosti, které zpracovávají osobní údaje, by měly jmenovat DPO nebo zpracovatele osobních údajů, který má na starosti dodržování GDPR. Společnostem a organizacím, které nedodržují GDPR, hrozí velmi tvrdé sankce: pokuty až do výše 4 % ročních globálních příjmů nebo až 20 milionů eur.
Nejde jen o „bezzubé strašení“, v rámci celé EU padly od zavedení GDPR nařízení pokuty v celkové výši 63 miliard Kč. O těch největších jsme vás před časem informovali v článku GDPR v praxi: Největší průšvihy a pokuty v historii. V České republice udělil Úřad pro ochranu osobních údajů kolem 130 pokut za porušení GDPR.
Od doby publikace zmíněného článku uplynul nějaký čas, jací jsou v současnosti aktuální „rekordmani“ v pomyslné soutěži o co největší porušení GDPR? Výsledky vás pravděpodobně příliš nepřekvapí, jedná se (doslova) o „staré firmy“:
→ Tip: Víte, že školení GDPR vám může ušetřit milionové pokuty?
Zdánlivě velice jednoduše: dodržujte nařízení GDPR! Někdy to může být složitější, i přestože provádíte pravidelná školení a dohlížíte na dodržování všech pravidel. Pokud chcete mít skutečnou jistotu, že jste v souladu s platnou legislativou, proveďte GDPR audit.
Chcete-li mít jistotu i do budoucna a zbavit se starostí s ochranou osobních údajů, zajistíme pro vás soulad s GDPR nařízením se vším všudy – od školení a absolvování kontrol úřadu pro ochranu osobních údajů až služby DPO. Neváhejte nás kontaktovat, problematikou GDPR jsme provedli více než 150 klientů a rádi provedeme i vás.
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky