GDPR

Obecné nařízení
o ochraně osobních údajů

Co je GDPR

Pod zkratkou GDPR (General Data Protection Regulation) – česky Obecné nařízení o ochraně osobních údajů – se skrývá nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

Jedná se o reakci Evropské unie na nepoměr mezi možnostmi současných technologií automatizovaného zpracování dat a legislativou, která reguluje práci s osobními údaji. GDPR upravuje práva občanů Evropské unie, stanovuje nové povinnosti organizacím, které spravují nebo zpracovávají osobní údaje, a vyměřuje vysoké sankce za jejich nedodržení. Co představuje GDPR v praxi a proč je nové nařízení potřeba?

Účinnost GDPR

Nařízení GDPR bylo přijato v dubnu 2016 a účinnosti nabude od května 2018. To by mělo dát firmám a institucím dostatek času provést nutné změny ve svých procesech, dokumentech a informačních systémech tak, aby byly s novým nařízením v souladu.

GDPR nepředstavuje revoluci, ale pouze aktualizaci existujících a fungujících pravidel při nakládání s osobními údaji. Firma nebo instituce, která se dosud řídila platným zněním Zákona o ochraně osobních údajů a řádně chránila data svých klientů, se po květnu 2018 nemusí obávat ze strany Úřadu pro ochranu osobních údajů represí. Svoji činnost však budou nuceni upravit takové společnosti, které dosud profitovaly ze zpracování osobních dat a jejich prodeje. Jinak riskují astronomické pokuty.

Koho se GDPR týká

Nařízení se týká všech jednotlivců, firem a institucí, které shromažďují a zpracovávají osobní údaje občanů Evropské unie, tedy i společností mimo území EU, jež působí na evropském trhu. Dohledem nad dodržováním povinností vyplývajících z GDPR je na našem území pověřen Úřad pro ochranu osobních údajů (ÚOOÚ), kterému bude nadřízen Evropský sbor pro ochranu osobních údajů (EDPB).

Jakých dat se GDPR týká

Osobními údaji se v GDPR rozumí jakákoliv data vztahující se k identifikovatelné fyzické osobě. Jedná se tedy např. o jméno, věk, datum narození, pohlaví, fotografie, telefonní číslo, adresu elektronické pošty a další. Dále se může jednat o IP adresu, cookie či jinou signaturu, kterou lze použít pro identifikaci konkrétní fyzické osoby. Kromě osobních údajů rozlišuje GDPR také citlivé osobní údaje jako etnickou, politickou, náboženskou nebo filozofickou příslušnost či vyznání, informace z rejstříku trestů, ze zdravotní dokumentace a nově také genetické a biometrické údaje.

Ochrana soukromí fyzických osob
GDPR startuje 25. května 2018, tj. .

Práva, povinnosti a sankce

GDPR umožní občanům Evropské unie (tzv. subjektům údajů) lépe kontrolovat, co se děje s jejich osobními údaji. Upravuje také vztah mezi občanem a správcem údajů. Občanovi přiznává práva přístupu, opravy, výmazu, zapomenutí, omezení zpracování a přenositelnosti. Správcům a zpracovatelům osobních údajů pak ukládá povinnost respektovat tato práva a zavádí princip zodpovědnosti, v rámci kterého musí společnost zavést taková organizační, procesní a technická opatření, jenž budou v souladu s GDPR. Souhrnný přehled změn v ochraně soukromí, které GDPR přináší, najdete na deloitte.com.

Práva občanů EU

Následující práva se dotýkají všech údajů, které správce eviduje:

  • Právo na přístup umožňuje občanovi zjistit, jaké informace o jeho osobě správce eviduje, důvod jejich evidence a způsob zpracování. Tímto právem však nemohou být omezena práva jiných občanů (např. duševní vlastnictví, obchodní tajemství) nebo ohrožena národní bezpečnost. Občan by se měl dozvědět také důsledky zpracování svých údajů v případě, že jsou použity k profilování.
  • Právo na opravu umožňuje občanovi dožadovat se nápravy v případě, kdy zjistí, že evidované údaje jsou nesprávné. Správce osobních údajů musí zajistit prostředí pro online podávání žádostí o opravu.
  • Právo na výmaz umožňuje občanovi požadovat odstranění svých údajů z evidence správce, pokud nastane některý z těchto případů:
    • Osobní údaje jsou evidovány a zpracovávány protiprávně.
    • Zpracování je založeno na souhlasu, který byl odvolán. Zároveň neexistuje jiný právní důvod.
    • Rodič nesouhlasí se zpracováním osobních dat svého dítěte.
    • Osobní údaje již nejsou potřeba pro účel, pro který byly evidovány a zpracovávány.
    • Občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů.
  • Právo být zapomenut umožňuje občanovi požadovat výmaz všech výskytů a odkazů na jeho osobní údaje ve všech jejich kopiích.
  • Právo omezení zpracování umožňuje občanovi vznést námitku proti zpracování údajů v případech, kdy nemůže požadovat výmaz.
  • Právo na přenositelnost umožňuje občanovi získat své osobní údaje od jednoho správce ve strukturované strojově čitelné podobě a předat je jinému správci.

Povinnosti správců a zpracovatelů

Správci a zpracovatelé osobních údajů, bez ohledu na svou velikost (ať už měřenou počtem zaměstnanců, obratem nebo jiným způsobem), mají povinnost zavést procesní, organizační a technická opatření za účelem prokázání shody s GDPR (tzv. princip zodpovědnosti).

GDPR zavádí mechanismus posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment – DPIA). Toto posouzení musí vypracovat každý správce a zpracovatel, který provádí rozsáhlé automatizované zpracování osobních údajů.

Mezi další povinnosti správců a zpracovatelů patří např.:

  • Chránit data a zavést nezbytná procesní, organizační a technická opatření pro podporu ochrany dat.
  • Vést záznamy o zpracování osobních údajů, které musí na žádost dozorového orgánu zpřístupnit pro potřeby auditu.
  • Provádět pseudoanonymizaci osobních údajů.
  • Jmenovat pověřence pro ochranu osobních údaje (Data Protection Officer – DPO), pokud to nařízení vyžaduje.
  • Ohlásit dozorovému orgánu i souvisejícímu subjektu únik evidovaných osobních údajů či ohrožení jejich bezpečnosti.

Sankce

GDPR nově zavádí astronomické sankce za nesoulad s novým nařízením nebo jeho porušení, a to ve výši až 20 mil. eur nebo 4 % z celkového obratu společnosti (resp. celé skupiny společností). Konkrétní výše sankce bude záviset na různých faktorech, jako je povaha, počet poškozených občanů, podniknutá nápravná opatření, apod.

Podívejte se na nabídku Deloitte, jak Vám může pomoct s GDPR.

Soulad s GDPR

Obecně lze kroky, které je nutné podniknout k zajištění souladu s GDPR, popsat následovně (více o tom, jak se připravit na GDPR na deloitte.com):

  1. Analýza vstupů a výstupů osobních údajů do/z organizace. Analýza procesů, které se týkají osobních údajů, a souvisejících rizik.
  2. Návrh úprav vnitřních procesů, organizace a aktiv ICT v návaznosti na zpracovávané osobní údaje.
  3. Příprava záměrů pro změnové projekty. Zavedení pozice DPO, pokud je nutné.
  4. Implementace připravených změnových projektů.

Pověřence pro ochranu osobních údajů musí organizace jmenovat, pokud se jedná o orgán veřejné moci a jeho hlavní činností je velkoplošné monitorování občanů nebo rozsáhlé zpracování citlivých osobních údajů. Za velkoplošné sledování občanů lze označit např. veškeré marketingové behaviorální analýzy z online dat.

Souvislost s aktivy ICT

Osobní údaje jsou zpravidla evidovány a zpracovávány v různých informačních systémech. Většina opatření bude tedy technického charakteru a bude se dotýkat úprav podnikového informačního systému, konkrétně takových částí jako:

  • systémů pro správu dokumentů (DMS) a obsahu (CMS),
  • systémů pro řízení vztahů se zákazníky (CRM),
  • systémů pro řízení dodavatelských řetězců (SCM),
  • systémů pro plánování podnikových zdrojů (ERP),
  • systémů pro správu lidských zdrojů (HRM) a
  • datových skladů (DWH).

Kromě toho se GDRP dotkne projektů zabývajících se internetem věcí (Internet of Things – IoT), využitím vlastních zařízení v práci (Bring Your Own Device – BYOD), těžením dat (Data Mining) a využitím systémů umělé inteligence (AI). GDPR může iniciovat také projekty týkající se zabezpečení mobilních zařízení (Mobile Device Management – MDM) či mobilních aplikací (Mobile Application Management – MAM), bezpečnosti databází a systémů ochrany proti úniku dat (Data Loss Prevention – DLP). GDPR lze tedy vnímat i jako příležitost k inovaci a získání konkurenční výhody.

Povinnosti správců a zpracovatelů osobních údajů

Přečtěte si, jak se k GDPR vyjadřuje Úřad pro ochranu osobních údajů.

Stáhněte si české znění GDPR v PDF z EUR-Lex (oficiální zdroj práva EU).

Stáhněte si GDPR v jiném formátu/jazyce z EUR-Lex.

Slovníček

Citlivý osobní údaj
Zvláštní kategorie osobních údajů, které se týkají etnické, politické, náboženské nebo filozofické příslušnosti či vyznání, informací z rejstříku trestů, ze zdravotní dokumentace, genetických a biometrických údajů.
Evropský sbor pro ochranu osobních údajů (EPDB)
Nejvyšší dohledový orgán, který bude dohlížet na dodržování GDPR.
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation - GDPR)
Nařízení Evropské unie upravující vztah občanů, správců a zpracovatelů osobních údajů. Reguluje práci s osobními údaji občanů EU.
Osobní údaj
Údaj týkající se identifikovatelné fyzické osoby
Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment - DPIA)
Metoda pro identifikaci způsobů uvedení pravidel ochrany osobních údajů do souladu s GDPR.
Pověřenec pro ochranu osobních údajů (Data Protection Officer - DPO)
Osoba pověřená dohledem nad souladem zpracování osobních údajů s povinnostmi vyplývajících z GDPR.
Profilování
Automatizované zpracování dat, jehož výsledkem je profil osoby a jejího chování.
Subjekt údajů
Fyzická osoba, ke které se vztahují osobní údaje.
Správce osobních údajů
Subjekt, který shromažďuje osobní údaje a zpracovává je.
Úřad pro ochranu osobních údajů (ÚOOÚ)
Dohledový orgán, který provádí dozor nad dodržováním povinností při správě osobních údajů a jejich zpracování.