Velký průvodce po GDPR. Další výmysl z Bruselu? Neunikne prakticky nikdo

Praha - GDPR (General Data Protection Regulation) má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, tedy v podstatě všech, kteří jakkoli pracují s osobními daty zákazníků či zaměstnanců. Opatření zavádí například právo na výmaz či přenos poskytnutých údajů.

V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady okolo šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460.000, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně 7000 obcí. Dohromady zhruba jednoho milionu subjektů.

Ty v souvislosti s GDPR přistupují k úpravě vnitřních směrnic na ochranu dat a smluv se zaměstnanci i dodavateli. Opatření EU totiž vyžaduje obnovu většiny databází, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků. Instituce budou muset také jmenovat takzvané pověřence, kteří budou garantem "řádného hospodáře" při nakládání s údaji.

Nově bude muset zpracovatel osobních údajů také ohlásit únik či ohrožení dat Úřadu pro ochranu osobních údajů (ÚOOÚ) nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal. Doposud přitom firmy úniky dat spíše tajily.

Podle GDPR budou moci klienti žádat výmaz svých dat z marketingových databází a bez jejich souhlasu nebudou smět firmy ani sledovat jejich chování na internetu a poskytovat zjištěná data dál. Tam, kde mohou podniky a instituce osobní údaje zpracovávat bez souhlasu - například proto, že je k tomu zavazuje smlouva nebo povinnost plynoucí ze zákona - bude platit, že osobní data musí ze svých databází vymazat ihned poté, co pominul účel, pro který je potřebovaly.

Souhlas se zpracováním osobních dat by měl být podle GDPR vydělený, nyní se souhlasy zákazníků často skrývají do všeobecných obchodních podmínek. Udělením souhlasu také nelze podmiňovat poskytnutí služby. GDPR se vztahuje na různé věrnostní programy obchodních řetězců či lékáren i na marketingovou komunikaci na sociálních sítích (služby WhatsApp, Skype nebo Facebook). Takzvané cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele, budou považované za osobní údaje.

Účet na sociální síti si od 25. května budou moci nově zřídit jen lidé starší 16 let. Důvodem je to, že GDPR začne platit a Sněmovna do té doby nestihne schválit nový zákon o zpracování údajů, který měl tuto hranici zmírnit. Ochrana údajů bude mít dopad i na školství, typickou situací, kdy bude vyžadován souhlas rodiče dítěte, je například umístění třídní fotografie na internetové stránky školy.

Minulý měsíc společnost Seznam.cz oznámila, že kvůli GDPR ukončuje po 14 letech provozu službu Spolužáci.cz. Skončit by měla v září, přičemž od 24. května bude web fungovat už jen v omezeném režimu, nebude možné zakládat nové skupiny či registrovat členy.

GDPR naopak neomezí sledování majetku přes katastr nemovitostí, který vydá přehled vlastnictví komukoliv na základě zaevidování občanského průkazu žadatele. "Veřejnost katastru a ochrana osobních údajů v souladu s GDPR se nikterak nevylučují," uvedla nedávno pro Právo vedoucí oddělení legislativy Českého úřadu zeměměřického a katastrálního a pověřenkyně GDPR na katastru Lenka Vrzalová.

Jaký je důvod přijetí nové směrnice?

Směrnice udává několik důvodů, proč byla přijata. K těm zásadním patří to, že dosavadní směrnice z roku 1995 přestala odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. V době vzniku dosavadní směrnice podle odborníků neexistovaly nebo nebyly tak rozvinuté různé sociální sítě, cloudová úložiště ani další on-line "prostory", na kterých se dnes citlivá osobní data ocitají prakticky bez účinnější ochrany. Druhým klíčovým důvodem vzniku nové směrnice bylo to, že tou dosavadní nebyla dosažena požadovaná míra sjednocení právní úpravy. Charakteristické pro obecné nařízení je jeho univerzální použitelnost ve všech státech EU a dalších tří zemí.

Co to jsou osobní údaje?

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa nebo fotografie. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i například e-mailová adresa, telefonní číslo či různé identifikační údaje. Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto údajů směrnice až na výjimky zakazuje. Tyto údaje se mohou zpracovávat například po souhlasu daného subjektu, když je zpracování nutné pro ochranu životně důležitých zájmů subjektu nebo z důvodů veřejného zájmu v oblasti veřejného zdraví nebo když je zpracování nezbytné pro lékařské účely.

Jedná se o zásadní změnu?

V základních bodech obecné nařízení navazuje na dosavadní směrnici. Nemění tak základní zásady zpracování osobních údajů či základní pojmy jako jsou osobní údaj, subjekt údajů (fyzická osoba, které se údaj týká), správce (určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá) a zpracovatel (subjekt, který pro správce údaje zpracovává). Na některé organizace a zpracování nová směrnice klade vyšší nároky. Jedná se především o velké správce osobních údajů typu bank, telekomunikačních operátorů nebo nemocnic. Jednou z nejdůležitějších novinek je jmenování pověřence pro zpracování osobních údajů.

Povinně musí pověřence jmenovat orgán veřejné moci či veřejný subjekt (s výjimkou soudů) nebo když jsou hlavní činností správce nebo zpracovatele operace zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů. To je právě případ bank, pojišťoven, nemocnic nebo telekomunikačních společností. Na druhou stranu pro drobné živnostníky, malé internetové obchody a další, kteří zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, nepřináší obecné nařízení zásadní změny oproti stávající úpravě.

Jaké jsou práva fyzických osob, kterých se osobní údaje týkají?

Směrnice výrazně posiluje práva občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na informace o tom, které jejich údaje jsou zpracovávány a proč, právo na opravu údajů, na jejich výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů. Novinkou je například udělení jednoznačného a ničím nepodmíněného souhlasu subjektem údajů, což znamená, že uzavření smlouvy (například na poskytnutí služby) nesmí být podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Správce údajů musí na veškeré námitky či dotazy reagovat do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Jak vysoká může být udělená pokuta?

Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10,000.000 eur (nebo až do dvou procent ročního obratu u firem) nebo do výše 20,000.000 eur (nebo až do čtyř procent obratu; zhruba 500 milionů korun). Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů.

Na koho se GDPR nevztahuje?

Nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Související

GDPR (ochrana osobních údajů)

Ztráta osobních údajů v důsledku kybernetických útoků může být porušením GDPR

Ztráta osobních údajů obyvatel či klientů v důsledku kybernetických útoků může být podle Úřadu pro ochranu osobních údajů (ÚOOÚ) vyhodnocena jako porušení unijního nařízení o ochraně osobních údajů (GDPR). Obce nebo zdravotnická zařízení by proto měla přijmout odpovídající opatření, uvedl dnes v tiskové zprávě předseda úřadu Jiří Kaucký.

Více souvisejících

GDPR (ochrana osobních údajů) osobní údaje EU (Evropská unie) firmy

Aktuálně se děje

Aktualizováno před 25 minutami

Bonnie Tyler

Zemřela legendární zpěvačka Bonnie Tyler

Světovou popmusic zasáhla velmi smutná zpráva. Ve věku 75 let zemřela legendární velšská zpěvačka Bonnie Tyler. Naposledy vydechla v nemocnici v Portugalsku, kde byla hospitalizována kvůli zdravotním problémům, s nimiž se potýkala v závěru života. 

před 55 minutami

Andy Burnham

V Británii fakticky začal výběr nového premiéra. Favorit je jasný

Ve Velké Británii právě dnes fakticky začíná výběr příštího ministerského předsedy, jenž nahradí současného premiéra Keira Starmera, jenž v červnu oznámil rezignaci. Labouristé ve čtvrtek odstartovali nominační proces pro volbu nového stranického lídra, informovala BBC. Favorit je jasný. 

před 1 hodinou

před 2 hodinami

Donald Trump

Trump tvrdí, že mu volali z Íránu. Teherán se prý chce dohodnout

Americký prezident Donald Trump po návratu domů ze summitu NATO v turecké Ankaře uvedl, že Írán opět žádá o uzavření mírové dohody. Teherán to oficiálně nepotvrdil. Nejnovější vývoj nastává poté, co Američané druhý den v řadě zasáhli desítky íránských cílů. 

před 3 hodinami

Andrej Babiš

Babiš prozradil, co přednesl na summitu NATO. Česko hodlá navýšit obranné výdaje

Premiér Andrej Babiš (ANO) a lídři dalších 31 členských států NATO v závěrečné deklaraci summitu v Ankaře potvrdili pevný závazek ke kolektivní obraně a k transatlantické vazbě. Česko podle Babiše v příštím roce navýší rozpočet na obranu o 36 miliard korun. Informoval o tom Úřad vlády po ukončení dvoudenního jednání. 

před 3 hodinami

Ilustrační fotografie.

Trumpova slova se naplnila. Američané znovu zaútočili v Íránu

Druhým dnem pokračovaly americké útoky v Íránu, takže se naplnila slova amerického prezidenta Donalda Trumpa, který ve středu vyhrožoval Teheránu ze summitu NATO. Všechno každopádně nasvědčuje tomu, že příměří na Blízkém východě je opravdu u konce. 

před 5 hodinami

včera

Poslanecká sněmovna

Rodičovský příspěvek bude 400 tisíc korun. Sněmovna schválila i úpravy superdávky

Poslanecká sněmovna ve třetím čtení schválila návrh ministra práce a sociálních věcí Aleše Juchelky na zvýšení rodičovského příspěvku. Jeho celková výše má nově činit 400 000 korun, u dvojčat a vícerčat 800 000 korun. Navýšení se bude vztahovat na děti narozené od 1. ledna 2027. Poslanci zároveň schválili úpravy parametrů dávky státní sociální pomoci (DSSP), které posílí podporu samoživitelů s dětmi do 15 let a lépe zohlední skutečné náklady na bydlení v jednotlivých regionech.

včera

Fotbal, ilustrační fotografie.

Artis Brno dalším nováčkem Chance ligy. Nahrazuje vyloučenou Karvinou

Česká fotbalová sága, která započala prakticky koncem března letošního roku, kdy vyšla najevo obří sázkařská aféra, do níž byly namočeny především kluby z Moravy včetně prvoligové Karviné. Ta na to po měsících doplatila tím, že byla jednak Evropskou fotbalovou unií UEFA vyloučena z evropských pohárů, které mohla původně hrát, a poté také z první ligy a spadla tak do druhé. Proti se nejprve chtěla odvolat k Etické komisi Fotbalové asociace ČR (FAČR), ale toto odvolání nakonec stáhla. Zachránila tím tak nejvyšší soutěž pro příští ročník, která bude mít opět sudý počet týmů, tedy tradičních 16. Podle soutěžního řádu Ligové fotbalové asociace (LFA) byl postup do první ligy nejprve nabídnut Táborsku, to však nabídku nepřijalo. Na řadu tak přišel klub Artis Brno. Ten se v pátek naopak rozhodl, že nabídku přijme. Stále to ale nemusí být konečná celého příběhu. Dukla Praha se ale hodlá proti postupu LFA bránit soudní cestou.

včera

NATO

Závěry summitu NATO. Deklarace zmiňuje Rusko, Ukrajinu i Írán

Letošní summit NATO v turecké Ankaře dospěl ke svému konci. Lídři členských zemí, k nimž patří i Česko, si znovu přislíbili pomoc v případě napadení. Rusko bylo označeno za hrozbu, jím napadená Ukrajina se může těšit na další podporu ze strany aliančních spojenců. V závěrečné deklaraci se zmiňuje také Írán. 

včera

Petr Fiala (ODS)

Babiš a Macinka ztrapnili jen sebe, rýpl si expremiér Fiala

Prezident Petr Pavel nakonec nechyběl na neformální večeři lídrů na summitu NATO, ačkoliv Babišova vláda původně chtěla, aby hlava státu na aliančním jednání vůbec nebyla. Není proto divu, že opoziční politici reagují výsměchem na adresu kabinetu. 

včera

Fotbal, ilustrační fotografie.

Španělé se gólem v závěru postarali o poslední Ronaldův zápas na MS. Američané končí

Fotbalový světový šampionát zná další čtvrtfinálovou dvojici, která se vygenerovala z pondělních osmifinálových zápasů. Pyrenejské derby, které bylo po většinu času až příliš opatrné z obou stran, zvládlo lépe Španělsko, když o vítězi rozhodla rychlá kombinace v první minutě nastavení, kterou zakončil úspěšně Merino. Rozhodl tak o tom, že právě proti Španělsku odehrál Cristiano Ronaldo s největší pravděpodobností svůj poslední zápas na MS. Daleko gólovější byl zápas mezi domácími USA a Belgií. Tento duel byl očekáván a hrál se pod rouškou napětí především poté, co vyšlo najevo, že i díky jednání amerického prezidenta Donalda Trumpa se šéfem FIFA Giannim Infantinem mohl nastoupit útočník Folarin Balogun, přestože původně kvůli červené kartě ze šestnáctifinále neměl. Ani toto skandální zrušení trestu však Američanům nepomohlo, neboť i díky chybujícímu gólmanovi Freeseovi jasně zvítězila Belgie.

včera

včera

Andrej Babiš si podal ruku s Donaldem Trumpem.

Babiš si podal ruku s Trumpem. Kritika Česka kvůli výdajům se nekonala

Premiér Andrej Babiš (ANO) si ve středu na summitu NATO v turecké Ankaře před zraky fotografů podal ruku s americkým prezidentem Donaldem Trumpem. Babiš se snímkem pochlubil na sociální síti. Po konci jednání pak předseda vlády tvrdil, že Česko nebylo kritizováno, protože nesplnilo závazek ohledně výše obranných výdajů. 

včera

včera

včera

včera

včera

včera

Policisté v národním parku. České Švýcarsko je pod dohledem společných hlídek

I během letních prázdnin pokračují v Národním parku České Švýcarsko společná preventivně bezpečnostní opatření. Jde konkrétně o společné hlídky policistů a strážců národního parku. Informovala o tom policie v tiskové zprávě. 

Zdroj: Jan Hrabě

Další zprávy