Kapitoly 01 Účinné od: 25. května 2018

GDPR

Obecné nařízení o ochraně osobních údajů

Přehled

Obecné nařízení o ochraně osobních údajů (GDPR) je základním kamenem práva EU na ochranu osobních údajů. Nahradilo směrnici o ochraně osobních údajů 95/46/ES a výrazně posílilo práva jednotlivců nad jejich osobními údaji a zároveň uložilo komplexní povinnosti správcům a zpracovatelům údajů.[1]

GDPR se vztahuje na jakoukoli organizaci zpracovávající osobní údaje jednotlivců v EU, bez ohledu na to, kde je organizace založena. Tento extraterritoriální rozsah učinil z GDPR de facto globální standard pro ochranu údajů.[2]

Kdo musí dodržovat

  • Správci údajů: Organizace, které určují účely a prostředky zpracování osobních údajů
  • Zpracovatelé údajů: Organizace, které zpracovávají osobní údaje jménem správců
  • Subjekty mimo EU: Jakákoli organizace nabízející zboží/služby obyvatelům EU nebo sledující jejich chování
  • Všechny sektory: Platí napříč odvětvími s omezenými výjimkami pro orgány činné v trestním řízení a národní bezpečnost

Klíčové požadavky pro vývojáře

Právní základ pro zpracování

Každá operace zpracování musí mít platný právní základ podle článku 6:[3]

  1. Souhlas: Svobodně udělený, konkrétní, informovaný a jednoznačný
  2. Smlouva: Nutný pro plnění smlouvy s dotčenou osobou
  3. Právní povinnost: Vyžadováno právem EU nebo členského státu
  4. Životně důležité zájmy: Ochrana života dotčené osoby nebo jiné osoby
  5. Veřejný zájem: Nutný pro úkol ve veřejném zájmu nebo výkon veřejné moci
  6. Oprávněné zájmy: Vyvážené vůči právům dotčené osoby (není dostupné pro veřejné orgány)

Technické požadavky

  • Minimalizace údajů: Sbírat pouze to, co je nezbytné pro stanovený účel
  • Omezení uchovávání: Uchovávat osobní údaje pouze po nezbytnou dobu
  • Integrita a důvěrnost: Zavést vhodná bezpečnostní opatření
  • Ochrana soukromí již při návrhu a ve výchozím nastavení: Zahrnout ochranu údajů do systémů od samého začátku (článek 25)[4]

Práva subjektů údajů

Aplikace musí podporovat následující práva:

PrávoPopisDoba odezvy
Přístup (čl. 15)Poskytnout kopii osobních údajů a informace o zpracování1 měsíc
Oprava (čl. 16)Opravit nepřesné osobní údajeBez zbytečného odkladu
Vymazání (čl. 17)Smazat údaje, pokud již nejsou potřebnéBez zbytečného odkladu
Omezení (čl. 18)Omezit zpracování za specifických okolnostíBez zbytečného odkladu
Přenositelnost (čl. 20)Poskytnout údaje ve strojově čitelném formátu1 měsíc
Vznesení námitky (čl. 21)Namítat proti zpracování na základě oprávněných zájmůBez zbytečného odkladu

Oznámení o porušení

  • Dozorovému úřadu: Do 72 hodin od zjištění (článek 33)[5]
  • Dotčeným osobám: Bez zbytečného odkladu při vysokém riziku pro práva a svobody (článek 34)
  • Dokumentace: Vést záznamy o všech porušeních bez ohledu na povinnost oznámení

Sankce

GDPR stanovuje stupňovanou strukturu pokut:

  • Nižší stupeň: Až 10 milionů EUR nebo 2 % ročního celosvětového obratu, podle toho, co je vyšší
  • Vyšší stupeň: Až 20 milionů EUR nebo 4 % ročního celosvětového obratu, podle toho, co je vyšší[6]

Mezi hlavní udělené pokuty patří:

  • Amazon (Lucembursko, 2021): 746 milionů EUR
  • Meta/Facebook (Irsko, 2023): 1,2 miliardy EUR
  • Google (Francie, 2022): 90 milionů EUR

Kontrolní seznam implementace

  • Identifikovat všechny činnosti zpracování osobních údajů
  • Stanovit právní základ pro každou operaci zpracování
  • Zavést správu souhlasů, kde je to relevantní
  • Vytvořit oznámení o ochraně soukromí splňující požadavky na transparentnost
  • Vybudovat mechanismy pro vyřizování žádostí subjektů údajů
  • Zavést vhodná bezpečnostní opatření
  • Zřídit postupy pro detekci a oznámení porušení
  • Provést posouzení dopadů na ochranu údajů u zpracování s vysokým rizikem
  • Jmenovat pověřence pro ochranu osobních údajů, pokud je to vyžadováno
  • Vést záznamy o činnostech zpracování (RoPA)

Zdroje a odkazy

[1]
Nařízení (EU) 2016/679 Evropského parlamentu a Rady. EUR-Lex: Oficiální text GDPR
[2]
Teritoriální rozsah GDPR, článek 3. GDPR.eu: Teritoriální rozsah
[3]
Zákonnost zpracování, článek 6. GDPR-Info: Článek 6
[4]
Ochrana údajů již při návrhu a ve výchozím nastavení, článek 25. GDPR-Info: Článek 25
[5]
Oznámení o porušení osobních údajů, článek 33. GDPR-Info: Článek 33
[6]
Správní pokuty, článek 83. GDPR-Info: Článek 83