GDPR

Nebojte se GDPR, spolu to zvládneme.

Co je GDPR?

Obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation) je nový předpis Evropské unie, který je zaměřen na ochranu osobních údajů občanů. Jako obecné je nařízení nazýváno proto, že je platné v celé Evropské unii, čili že pro všechny státy unie budou platit stejná pravidla.

Obecné nařízení představuje nový soubor závazných pravidel ochrany osobních údajů v evropském prostoru, který bude od 25. května 2018 definovat jednak podmínky, za jakých mohou společnosti a organizace pracovat s osobními údaji fyzických osob, a jednak práva těchto fyzických osob (subjektů údajů). Na rozdíl od směrnic EU, které je nutno implementovat do národní legislativy, je obecné nařízení platné okamžitě. Do českého právního systému se promítne pouze v dílčích upřesněních nebo v definici dozorového orgánu (pravděpodobně Úřad pro ochranu osobních údajů).

Obecné nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů ve stávajícím znění.

Celé znění GDPR v oficiálním překladu do češtiny je k dispozici ZDE.

Koho se bude Obecné nařízení týkat? 

Obecným nařízením se bude muset řídit každá organizace nebo společnost, která provádí zpracování osobních údajů. Vztahuje se tedy jak na správce, který určuje důvody a způsob zpracování osobních údajů, tak na zpracovatele, který pro správce manipulaci s osobními údaji vykonává. Fakticky se bude tedy Obecné nařízení týkat mimo jiné všech firem, které mají zaměstnance, lékařů, škol, obecních úřadů, eshopů, dopravních podniků, atd.

Obecné nařízení se však bude týkat i subjektů údajů, kterým poskytuje řadu nových práv, zejména pak právo na informace a přístup k osobním údajům (tedy povinnost správce poskytnout subjektu údajů informaci o datech, která o tomto subjektu zpracovává) nebo právo na výmaz.

Co je pracovní skupina WP29?

Pracovní skupina pro ochranu údajů WP29 je nezávislý poradní orgán Evropské komise.  Byla vytvořena na základě článku 29 (odtud její název – Working Party 29) směrnice 95/46/EC Evropského parlamentu a Rady. Je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie, tedy i Úřad pro ochranu osobních údajů je jeho členem. WP29 vypracovává stanoviska, kterými upřesňuje požadavky na ochranu osobních údajů stanovené právem EU ve snaze o jednotnou interpretaci komunitárního práva, případně reaguje na chystaná opatření, přípravu nových dokumentů apod.

Podle obecného nařízení o ochraně osobních údajů bude po nabytí účinnosti tohoto předpisu v květnu 2018 skupina WP29 nahrazena novým orgánem – Evropským sborem pro ochranu osobních údajů. Na konkrétních krocích (organizačních, technicko-materiálních, finančních) k této transformaci již WP29 pracuje.

 Největší strašák GDPR

Obecné nařízení stanovuje ve srovnání s dosavadní praxí překvapivě vysoké sankce – až 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok (článek 83 odstavec 5 Obecného nařízení). Taková sankce může být i pro velké společnosti likvidační. Je však třeba si uvědomit, že výše uvedené částky představují horní hranici a faktické pokuty budou výrazně nižší. To ale neznamená, že nebudou citelné. Dle již zmíněného článku 83 GDPR má každý dozorový úřad zajistit, aby udělená správní pokuta byla účinná, přiměřená a odrazující. Směrodatné při stanovování sankcí bude, zda ta která společnost měla snahu pravidla Obecného nařízení naplnit, nebo zda záměrně některé body porušila.

Pracovní skupina WP29 vypracovala vodítka k uplatnění a stanovení správních pokut. Jejich znění je k dispozici ZDE.

Pověřenec pro ochranu osobních údajů

Obecné nařízení zavádí pro státní organizace a subjekty, které zpracovávají rozsáhlé soubory osobních údajů, povinnost zřídit funkci Pověřence pro ochranu osobních údajů. Úkolem pověřence je poskytování informací a poradenství správci či zpracovateli i jeho zaměstnancům, kterých se zpracování osobních údajů týká. Pověřenec dále monitoruje soulad zpracování s Obecným nařízením a další legislativou. Pověřenec kontaktní osobou organizace pro komunikaci s Úřadem pro ochranu osobních údajů a se subjekty údajů.

Více informací o povinnosti jmenování pověřence pro ochranu osobních údajů najdete na stránkách Úřadu pro ochranu osobních údajů.

Další důležité informace o GDPR

Pro lepší orientaci v problematice doporučuji navštívit stránku nejčastějších dotazů na webu Úřadu pro ochranu osobních údajů. K dispozici ZDE.