Co to je GDPR?
![]() | „Menší strašák, než to vypadá.” |
---|
GDPR je zkratka anglického názvu Nařízení EU č. 679/2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů (General Data Protection Regulation).
GDPR se dotkne v různé míře všech podnikajících subjektů, institucí státní správy i samosprávy a v některých případech i podnikajících fyzických osob.V následujících kapitolách jsou přehledně a jednoduše vysvětleny nejdůležitější principy a ustanovení stávající platné legislativy i GDPR, vybrané s ohledem na činnosti zpracování osobních údajů v organizaci a konkrétní povinnosti a procesy pro zajištění souladu s GDPR v organizaci.
Platnost
Vzhledem k tomu, že se jedná o Nařízení EU, má GDPR obecnou závaznost jak na úrovni EU, tak na úrovni jednotlivých členských států, a je tedy závazné a bezprostředně použitelné v každém z členských států bez toho, aniž by muselo být do právního řádu kteréhokoliv z členských států transponováno. Nařízení může přímo zavazovat nejen členské státy, ale i vnitrostátní subjekty. V případě, že vnitrostátní právo není v souladu s nařízením, má před ním nařízení aplikační přednost.
GDPR, tedy Nařízení EU č. 679/2016, bylo přijato 27.4.2016 a je účinné od 25.5.2018.
V současné době je v platnosti i zákon č. 110/2019 Sb. Zákon o zpracování osobních údajů, který nahrazuje zákon č. 101/2000 Sb.
Co přináší GDPR nového?
Rozšíření pojmu Osobní údaje
Zvýšení práv pro Subjekty údajů
Posuzování vlivu na ochranu osobních údajů a případně konzultace s dozorovým orgánem
Hlášení bezpečnostních incidentů
Výrazné zvýšení maximálních pokut za porušení nařízení – za porušení povinností až 10 mil. EUR nebo 2% z celosvětového ročního obratu (podle toho, co je vyšší), za závažná porušení až 20 mil. EUR nebo 4% z celosvětového obratu (podle toho, co je vyšší).
Hlavní principy pro zpracování osobních údajů
Naplňování souladu s GDPR vede správce a zpracovatele osobních údajů k následujícím hlavním principům:
- Proaktivní a preventivní přístup ke zpracovávání osobních údajů (realizovat preventivní opatření pro ochranu osobních údajů, zavádět inovační procesy a technologie ochrany pro jednotlivá zpracovávání osobních údajů)
- Minimalizace zpracovávání osobních údajů (zpracovávat jen nezbytné údaje, pouze po nezbytnou dobu a umožnit přístup jen nutnému počtu osob)