Dne 28. května 2018 vstupuje v platnost nařízení Evropské unie nazvané General Data Protection Regulation (zkráceně GDPR). Deklaruje práva a povinnosti za účelem ochrany osobních údajů občanů Evropské unie.
Neznáte-li nařízení GDPR, přečtěte si vybraná právní ustanovení GPDR a naše technická opatření.
Stručný obsah GDPR
- Zásady zpracování osobních údajů
- Práva „subjektů údajů“, tedy identifikovaných či identifikovatelných fyzických osob
- Povinnosti správců a zpracovatelů osobních údajů, technická a organizační opatření
- Dozorová činnost a spolupráce dozorových orgánů
- Právní ochrana, odpovědnost a sankce za úmyslné či nedbalostní porušení ochrany osobních údajů
Působnost nařízení GDPR
Vztahuje se celosvětově na všechny subjekty zpracovávající osobní údaje občanů Evropské unie. Nařízení by měly věnovat pozornost zejména subjekty aktivně pracující s osobními údaji:
- Bankovní a jiné finanční instituce, finanční poradci
- Telekomunikační operátoři
- Pojišťovny, pojišťovací makléři
- Poskytovatelé hypoték, půjček a úvěrů
- Nemocnice a další zdravotnická zařízení
- Orgány veřejné moci a veřejné subjekty
Klíčové změny v ochraně osobních údajů
- Za osobní údaje se považují i lokační údaje či IP adresa nebo informace o použitých zařízeních, dřívějších nákupech, případně metainformace o dřívějším chování při využívání služeb.
- Týká se všech subjektů zpracovávajících osobní údaje občanů EU, nejen určitých typů subjektů.
- Pokud není ke zpracování údajů zákonný důvod, subjekt musí udělit souhlas se zpracováním, a to explicitním způsobem (subjekt musí zaškrtnout souhlas, souhlas nesmí být implicitně předvolen).
- Subjekt má právo odvolat souhlas, není-li ke zpracování údajů zákonný důvod.
- Správce dat i zpracovatel musí zavést ochranná technická a organizační opatření, zejména:
- pseudonymizovat, šifrovat a v případě havárie být schopen včas obnovit osobní údaje,
- zajistit důvěrnost, integritu, dostupnost a odolnost systémů,
- pravidelně testovat, posuzovat a hodnotit účinnost zavedených opatření.
- Správce dat i zpracovatel musejí vést záznamy o činnostech zpracování osobních údajů a na vyžádání je předložit dozorovému úřadu.
- Na správce dat i zpracovatele se vztahuje bezodkladná ohlašovací povinnost v případě porušení zabezpečení osobních údajů.
- Zpracovatel má ohlašovací povinnost vůči správci dat.
- Správce dat má ohlašovací povinnost vůči dozorovému úřadu, případně i vůči samotné dotčené fyzické osobě.
- Správce musí dokumentovat všechny případy porušení a na vyžádání je předložit dozorovému úřadu.
- Kdokoli utrpí v důsledku porušení nařízení újmu (i nemajetkovou), má právo obdržet od správce dat a zpracovatele náhradu.
- Porušení tohoto nařízení mohou být postižena pokutou až do výše 20 milionů EUR, u podniků až do výše 4 % celosvětového ročního obratu.