Co je GDPR?
Obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation) je nový předpis Evropské unie, který je zaměřen na ochranu osobních údajů občanů. Jako obecné je nařízení nazýváno proto, že je platné v celé Evropské unii, čili že pro všechny státy unie budou platit stejná pravidla.
Obecné nařízení představuje nový soubor závazných pravidel ochrany osobních údajů v evropském prostoru, který od 25. května 2018 definuje jednak podmínky, za jakých mohou společnosti a organizace pracovat s osobními údaji fyzických osob, a jednak práva těchto fyzických osob (subjektů údajů). Na rozdíl od směrnic EU, které je nutno implementovat do národní legislativy, je obecné nařízení platné okamžitě. V českém právním systému toto nařízení doplňuje zákon č. 110/2019 Sb., o zpracování osobních údajů.
Celé znění GDPR v oficiálním překladu do češtiny je k dispozici ZDE.
Koho se Obecné nařízení týká?
Obecným nařízením se musí řídit každá organizace nebo společnost, která provádí zpracování osobních údajů. Vztahuje se tedy jak na správce, který určuje důvody a způsob zpracování osobních údajů, tak na zpracovatele, který pro správce manipulaci s osobními údaji vykonává. Fakticky se bude tedy Obecné nařízení týká mimo jiné všech firem, které mají zaměstnance, lékařů, škol, obecních úřadů, eshopů, dopravních podniků, atd.
Obecné nařízení se však týká i subjektů údajů, kterým poskytuje řadu nových práv, zejména pak právo na informace a přístup k osobním údajům (tedy povinnost správce poskytnout subjektu údajů informaci o datech, která o tomto subjektu zpracovává) nebo právo na výmaz.
Největší strašák GDPR
Obecné nařízení stanovuje ve srovnání s dosavadní praxí překvapivě vysoké sankce – až 20.000.000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok (článek 83 odstavec 5 Obecného nařízení). Taková sankce může být i pro velké společnosti likvidační. Je však třeba si uvědomit, že výše uvedené částky představují horní hranici a faktické pokuty budou výrazně nižší. To ale neznamená, že nebudou citelné. Dle již zmíněného článku 83 GDPR má každý dozorový úřad zajistit, aby udělená správní pokuta byla účinná, přiměřená a odrazující. Směrodatné při stanovování sankcí bude, zda ta která společnost měla snahu pravidla Obecného nařízení naplnit, nebo zda záměrně některé body porušila.
Pověřenec pro ochranu osobních údajů
Obecné nařízení zavádí pro státní organizace a subjekty, které zpracovávají rozsáhlé soubory osobních údajů, povinnost zřídit funkci Pověřence pro ochranu osobních údajů. Úkolem pověřence je poskytování informací a poradenství správci či zpracovateli i jeho zaměstnancům, kterých se zpracování osobních údajů týká. Pověřenec dále monitoruje soulad zpracování s Obecným nařízením a další legislativou. Pověřenec je kontaktní osobou organizace pro komunikaci s Úřadem pro ochranu osobních údajů a se subjekty údajů.
Více informací k problematice pověřence pro ochranu osobních údajů najdete na stránkách Úřadu pro ochranu osobních údajů.
Další důležité informace o GDPR
Pro lepší orientaci v problematice doporučuji navštívit stránku Úřadu pro ochranu osobních údajů. K dispozici ZDE.