Velký průvodce po GDPR. Další výmysl z Bruselu? Neunikne prakticky nikdo

Praha - GDPR (General Data Protection Regulation) má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, tedy v podstatě všech, kteří jakkoli pracují s osobními daty zákazníků či zaměstnanců. Opatření zavádí například právo na výmaz či přenos poskytnutých údajů.

V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady okolo šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460.000, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně 7000 obcí. Dohromady zhruba jednoho milionu subjektů.

Ty v souvislosti s GDPR přistupují k úpravě vnitřních směrnic na ochranu dat a smluv se zaměstnanci i dodavateli. Opatření EU totiž vyžaduje obnovu většiny databází, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků. Instituce budou muset také jmenovat takzvané pověřence, kteří budou garantem "řádného hospodáře" při nakládání s údaji.

Nově bude muset zpracovatel osobních údajů také ohlásit únik či ohrožení dat Úřadu pro ochranu osobních údajů (ÚOOÚ) nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal. Doposud přitom firmy úniky dat spíše tajily.

Podle GDPR budou moci klienti žádat výmaz svých dat z marketingových databází a bez jejich souhlasu nebudou smět firmy ani sledovat jejich chování na internetu a poskytovat zjištěná data dál. Tam, kde mohou podniky a instituce osobní údaje zpracovávat bez souhlasu - například proto, že je k tomu zavazuje smlouva nebo povinnost plynoucí ze zákona - bude platit, že osobní data musí ze svých databází vymazat ihned poté, co pominul účel, pro který je potřebovaly.

Souhlas se zpracováním osobních dat by měl být podle GDPR vydělený, nyní se souhlasy zákazníků často skrývají do všeobecných obchodních podmínek. Udělením souhlasu také nelze podmiňovat poskytnutí služby. GDPR se vztahuje na různé věrnostní programy obchodních řetězců či lékáren i na marketingovou komunikaci na sociálních sítích (služby WhatsApp, Skype nebo Facebook). Takzvané cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele, budou považované za osobní údaje.

Účet na sociální síti si od 25. května budou moci nově zřídit jen lidé starší 16 let. Důvodem je to, že GDPR začne platit a Sněmovna do té doby nestihne schválit nový zákon o zpracování údajů, který měl tuto hranici zmírnit. Ochrana údajů bude mít dopad i na školství, typickou situací, kdy bude vyžadován souhlas rodiče dítěte, je například umístění třídní fotografie na internetové stránky školy.

Minulý měsíc společnost Seznam.cz oznámila, že kvůli GDPR ukončuje po 14 letech provozu službu Spolužáci.cz. Skončit by měla v září, přičemž od 24. května bude web fungovat už jen v omezeném režimu, nebude možné zakládat nové skupiny či registrovat členy.

GDPR naopak neomezí sledování majetku přes katastr nemovitostí, který vydá přehled vlastnictví komukoliv na základě zaevidování občanského průkazu žadatele. "Veřejnost katastru a ochrana osobních údajů v souladu s GDPR se nikterak nevylučují," uvedla nedávno pro Právo vedoucí oddělení legislativy Českého úřadu zeměměřického a katastrálního a pověřenkyně GDPR na katastru Lenka Vrzalová.

Jaký je důvod přijetí nové směrnice?

Směrnice udává několik důvodů, proč byla přijata. K těm zásadním patří to, že dosavadní směrnice z roku 1995 přestala odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. V době vzniku dosavadní směrnice podle odborníků neexistovaly nebo nebyly tak rozvinuté různé sociální sítě, cloudová úložiště ani další on-line "prostory", na kterých se dnes citlivá osobní data ocitají prakticky bez účinnější ochrany. Druhým klíčovým důvodem vzniku nové směrnice bylo to, že tou dosavadní nebyla dosažena požadovaná míra sjednocení právní úpravy. Charakteristické pro obecné nařízení je jeho univerzální použitelnost ve všech státech EU a dalších tří zemí.

Co to jsou osobní údaje?

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa nebo fotografie. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i například e-mailová adresa, telefonní číslo či různé identifikační údaje. Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto údajů směrnice až na výjimky zakazuje. Tyto údaje se mohou zpracovávat například po souhlasu daného subjektu, když je zpracování nutné pro ochranu životně důležitých zájmů subjektu nebo z důvodů veřejného zájmu v oblasti veřejného zdraví nebo když je zpracování nezbytné pro lékařské účely.

Jedná se o zásadní změnu?

V základních bodech obecné nařízení navazuje na dosavadní směrnici. Nemění tak základní zásady zpracování osobních údajů či základní pojmy jako jsou osobní údaj, subjekt údajů (fyzická osoba, které se údaj týká), správce (určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá) a zpracovatel (subjekt, který pro správce údaje zpracovává). Na některé organizace a zpracování nová směrnice klade vyšší nároky. Jedná se především o velké správce osobních údajů typu bank, telekomunikačních operátorů nebo nemocnic. Jednou z nejdůležitějších novinek je jmenování pověřence pro zpracování osobních údajů.

Povinně musí pověřence jmenovat orgán veřejné moci či veřejný subjekt (s výjimkou soudů) nebo když jsou hlavní činností správce nebo zpracovatele operace zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů. To je právě případ bank, pojišťoven, nemocnic nebo telekomunikačních společností. Na druhou stranu pro drobné živnostníky, malé internetové obchody a další, kteří zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě.

Jaké jsou práva fyzických osob, kterých se osobní údaje týkají?

Směrnice výrazně posiluje práva občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na informace o tom, které jejich údaje jsou zpracovávány a proč, právo na opravu údajů, na jejich výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů. Novinkou je například udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů, což znamená, že uzavření smlouvy (například na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Správce údajů musí na veškeré námitky či dotazy reagovat do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Jak vysoká může být udělená pokuta?

Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10,000.000 eur (nebo až do dvou procent ročního obratu u firem) nebo do výše 20,000.000 eur (nebo až do čtyř procent obratu; zhruba 500 milionů korun). Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů.

Na koho se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Související

GDPR (ochrana osobních údajů)

Ztráta osobních údajů v důsledku kybernetických útoků může být porušením GDPR

Ztráta osobních údajů obyvatel či klientů v důsledku kybernetických útoků může být podle Úřadu pro ochranu osobních údajů (ÚOOÚ) vyhodnocena jako porušení unijního nařízení o ochraně osobních údajů (GDPR). Obce nebo zdravotnická zařízení by proto měla přijmout odpovídající opatření, uvedl dnes v tiskové zprávě předseda úřadu Jiří Kaucký.

Více souvisejících

GDPR (ochrana osobních údajů) osobní údaje EU (Evropská unie) firmy

Aktuálně se děje

před 22 minutami

před 1 hodinou

před 2 hodinami

Zoran Milanović

Chorvatsko se chystá si znovuzvolit svého vlastního Donalda Trumpa

Chorvatsko uzavírá svůj „supervolební rok“ prezidentskými volbami, které se uskuteční tuto neděli. Zoran Milanović, současný prezident a kontroverzní kritik Evropské unie i NATO, je podle předvolebních průzkumů jasným favoritem. Pokud žádný z kandidátů nezíská nadpoloviční většinu hlasů, druhé kolo proběhne 12. ledna. Uvedl to server Politico.

před 3 hodinami

Světová zdravotnická organizace

WHO: Smrtící epidemie v Kongu má desítky obětí, zabíjí směs nemocí

Smrtící epidemie v Demokratické republice Kongo (DRC) byla podle Světové zdravotnické organizace (WHO) spojena s kombinací virových respiračních infekcí, malárie a podvýživy. Původně považovaná za "záhadnou nemoc", epidemie si vyžádala životy téměř 50 lidí, převážně malých dětí, a téměř 900 dalších osob onemocnělo v západní oblasti Panzi.

před 3 hodinami

Rusko, ilustrační foto

Nechci květiny, ale Ukrajinu. V Rusku bují ženské povstání proti válce

8. března 2023, na Mezinárodní den žen, rozdávali ruští vojáci v Melitopolu, městě na jihu Ukrajiny, ženám a dívkám tulipány a snítky mimózy. Tento krok měl zlepšit vztahy mezi okupanty a místními obyvateli. Ale noc předtím někdo tajně vylepil plakáty po zdech a lampách. Na nich byla zobrazena mladá Ukrajinka v tradiční vyšívané košili, jak bije ruského vojáka kyticí. Slogan zněl: „Nechci květiny. Chci svou Ukrajinu.“

před 4 hodinami

před 5 hodinami

Jana Synková ve filmu Babovřesky 2

Ve věku 80 let zemřela herečka Jana Synková

Ve věku 80 let zemřela legendární herečka Jana Synková, známá nejen jako teta Kateřina ze seriálu Saturnin, ale také jako psycholožka Kudláková z populární filmové trilogie Byl jednou jeden polda. Smutná zpráva přichází pouhých šest měsíců po smrti jejího manžela, zakladatele Studia Ypsilon Jana Schmida (†87), který zemřel letos v červnu.

před 6 hodinami

před 7 hodinami

Věznice

Nebyla to jen "lidská jatka". Odpůrce Asada děsilo i "Peklo na Zemi"

V prosinci objevila Douna Haj Ahmed, syrská uprchlice žijící v Londýně, bolestivou pravdu o minulosti svého manžela Abdullaha Al Nofala. Během sledování záběrů zpravodajství, kde rebelové slavili pád režimu Bašára Asada, její muž nečekaně odhalil temnou kapitolu svého života. Obrátil se na svou ženu a se slzami v očích řekl: „To je místo, kde mě zatkli. To je to místo.“

před 8 hodinami

Čínský prezident Si Ťin-pching

Nesmí k nim rodina ani právník. Čína staví detenční centra na mučení vězňů

Čína masivně rozšiřuje své detenční kapacity v souvislosti s probíhající protikorupční kampaní prezidenta Si Ťin-pchinga, která zasahuje stále širší oblasti společnosti. Podle vyšetřování CNN bylo od roku 2018 vybudováno nebo rozšířeno více než 200 specializovaných detenčních zařízení, označovaných jako "liuzhi", kde jsou podezřelí zadržováni bez přístupu k právníkům nebo rodině až na šest měsíců.

před 9 hodinami

včera

včera

včera

včera

včera

včera

Bitva u Trentonu byla významnou bitvou americké války za nezávislost.

Vánoční výročí bitvy u Trentonu. Tady se psaly dějiny vzniku moderních USA

S vánočními svátky se pojí jedna rozsahem malá, ale ve svých důsledcích velmi významná bitva, a to nejen pro samotný průběh americké války za nezávislost v rámci které se odehrála. Jedná se o bitvu u Trentonu 26. prosince 1776. Americká válka za nezávislost (1775–1783) představovala rozhodující střet mezi britskou korunou a třinácti americkými koloniemi, které usilovaly o svobodu a samostatnost. 

včera

včera

Pavel Nedvěd

Pavel Nedvěd dává českému fotbalu vale. Nejspíš bude sportovním ředitelem v Saúdské Arábii

Začátkem tohoto týdne se objevily v českých médiích spekulace, že by se držitel Zlatého míče z roku 2003 a bývalý viceprezident Juventusu Turín Pavel Nedvěd mohl po odmlce opět vrátit k fotbalu. Konkrétně deník Sport přišel s informací, že by se partner Dary Rolins mohl vrátit do Česka a stát se sportovním ředitelem prvoligového Hradce Králové. Nejnověji se však v souvislosti s ním mluví o tom, že by jeho nejbližší kroky měly vést do Saúdské Arábie.

včera

Víme, kdo to udělal, řekl Stubb k poškození kabelů v Baltu. Moskva mlčí

Finsko přijalo trojici konkrétních opatření v reakci na incident, při němž došlo k poškození elektrických a telekomunikačních kabelů. Řekl to finský prezident Alexander Stubb na páteční tiskové konferenci. Informoval o tom server Yle

Zdroj: Lucie Podzimková

Další zprávy