Ochrana osobních údajů (GDPR)

V rámci procesního zajištění ochrany osobních údajů (GDPR) je potřeba pravidelně vzdělávat zaměstnance v této problematice.

Demo lekcí:
2/16

Náročnost:
1 h + 10 min test

Co to je GDPR?

„Menší strašák, než to vypadá.”



GDPR je zkratka anglického názvu Nařízení EU č. 679/2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů (General Data Protection Regulation).

GDPR se dotkne v různé míře všech podnikajících subjektů, institucí státní správy i samosprávy a v některých případech i podnikajících fyzických osob.

V následujících kapitolách jsou přehledně a jednoduše vysvětleny nejdůležitější principy a ustanovení stávající platné legislativy i GDPR, vybrané s ohledem na činnosti zpracování osobních údajů v organizaci a konkrétní povinnosti a procesy pro zajištění souladu s GDPR v organizaci.


Platnost

Vzhledem k tomu, že se jedná o Nařízení EU, má GDPR obecnou závaznost jak na úrovni EU, tak na úrovni jednotlivých členských států, a je tedy závazné a bezprostředně použitelné v každém z členských států bez toho, aniž by muselo být do právního řádu kteréhokoliv z členských států transponováno. Nařízení může přímo zavazovat nejen členské státy, ale i vnitrostátní subjekty. V případě, že vnitrostátní právo není v souladu s  nařízením, má před ním nařízení aplikační přednost.

GDPR, tedy Nařízení EU č. 679/2016, bylo přijato 27.4.2016 a je účinné od 25.5.2018.

V současné době je v platnosti i zákon č. 110/2019 Sb. Zákon o zpracování osobních údajů, který nahrazuje zákon č. 101/2000 Sb.


Co přináší GDPR nového?

  • Rozšíření pojmu Osobní údaje

  • Zvýšení práv pro Subjekty údajů

  • Posuzování vlivu na ochranu osobních údajů a případně konzultace s dozorovým orgánem

  • Hlášení bezpečnostních incidentů

  • Výrazné zvýšení maximálních pokut za porušení nařízení – za porušení povinností až 10 mil. EUR nebo 2% z celosvětového ročního obratu (podle toho, co je vyšší), za závažná porušení až 20 mil. EUR nebo 4% z celosvětového obratu (podle toho, co je vyšší).


Hlavní principy pro zpracování osobních údajů

Naplňování souladu s GDPR vede správce a zpracovatele osobních údajů k následujícím hlavním principům:

  • Proaktivní a preventivní přístup ke zpracovávání osobních údajů (realizovat preventivní opatření pro ochranu osobních údajů, zavádět inovační procesy a technologie ochrany pro jednotlivá zpracovávání osobních údajů)

  • Minimalizace zpracovávání osobních údajů (zpracovávat jen nezbytné údaje, pouze po nezbytnou dobu a umožnit přístup jen nutnému počtu osob)


Co to jsou osobní údaje?

To, co říká, že jsem to já.”



Veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Konkrétní osobu lze identifikovat různou kombinací osobních údajů.


Obecné osobní údaje

  • Jméno
  • Příjmení
  • Adresa
  • Trvalé bydliště
  • Doručovací adresa
  • Pohlaví
  • Věk
  • Datum narození, RČ
  • Osobní stav
  • Číslo občasnkého průkazu
  • Číslo řidičského průkazu
  • Číslo cestovního pasu
  • Příjmy (plat, důchod, atp.)
  • Lokační údaje (GPS, apod.)
  • Emailová adresa (pokud je z ní možné poznat jméno či firmu)
  • Telefonní číslo pracovní i skouromé
  • Různé identifikační údaje vydané státem (IČ, DIČ, …)
  • Profilování dle chování (např. nákupy – životní styl, obvykle platby, obvyklé instituce, služby atp.)
  • Certifikát pro elektronický podpis
  • Životopis
  • Kamerové záznamy, fotografie
  • IP adresy, MAC adresy


Zvláštní kategorie osobních údajů

  • Rasový či etnický původ
  • Politické názory
  • Náboženské nebo filozofické vyznání
  • Členství v odborech, příspěvky
  • Údaje o zdravotním stavu (tělesné či duševní zdraví)
  • Sexuální orientace
  • Trestní delikty, či pravomocná odsouzení
  • Genetické údaje (DNA, krevní skupina, Rh faktor, apod.)
  • Biometrické údaje (otisk prstu, snímek oční rohovky, apod.)
  • Osobní údaje dětí

Výše uvedený výčet osobních údajů a zvláštní kategorie osobních údajů je pouze orientační, slouží pro přiblížení pojmu, a není konečný.


Příklady údajů, jejichž kombinace lze považovat za osobní údaje podléhající ochraně 
  • jméno + příjmení + rodné číslo
  • jméno + příjmení + datum narození
  • jméno + příjmení + adresa bydliště + telefonní číslo nebo emailová adresa
  • jméno + příjmení + zaměstnavatel + pracovní email a tel. číslo
  • jméno + příjmení + IP adresa
  • lokalizační údaje mobilního telefonu + telefonní číslo
  • kamerový záznam