GDPR (General Data Protection Regulation), známé také jako Nařízení o ochraně osobních údajů Evropské unie, je legislativa, která stanoví pravidla pro zpracování osobních údajů v rámci EU. Je navržena tak, aby chránila práva a svobody jednotlivců v oblasti ochrany jejich osobních údajů. GDPR bylo přijato v květnu 2016 a začalo platit od 25. května 2018. Tento právní rámec se vztahuje na všechny organizace, které shromažďují nebo zpracovávají osobní údaje obyvatel EU, bez ohledu na to, kde se nachází samotná organizace.
V tomto článku se podíváme na to, co GDPR znamená, jaké má klíčové zásady a jak ovlivňuje organizace, které zpracovávají osobní údaje.
Co je GDPR?
GDPR je soubor pravidel, kterými se řídí způsob, jakým organizace shromažďují, zpracovávají a uchovávají osobní údaje. Nařízení stanoví, jaké kroky musí organizace podniknout, aby zajistily, že osobní údaje jsou chráněny před neoprávněným přístupem, ztrátou nebo zneužitím.
Cílem GDPR je dát jednotlivcům větší kontrolu nad jejich osobními údaji a zajistit transparentnost při jejich zpracování. Nařízení také zavádí přísné sankce pro organizace, které nedodržují pravidla ochrany osobních údajů.
Klíčové zásady GDPR
GDPR obsahuje několik zásad, které musí organizace dodržovat při zpracování osobních údajů. Tyto zásady jsou navrženy tak, aby zajistily, že osobní údaje budou zpracovávány s respektem k právům jednotlivců.
1. Zákonnost, spravedlnost a transparentnost
Osobní údaje musí být zpracovávány zákonným a spravedlivým způsobem. Organizace musí zajistit, že jednotlivci jsou informováni o tom, jak budou jejich údaje použity, a musí získat jejich souhlas, pokud je to vyžadováno.
2. Účelové omezení
Osobní údaje musí být shromažďovány pro specifické a legitimní účely a nemohou být dále zpracovávány způsoby, které nejsou v souladu s těmito účely.
3. Minimalizace údajů
Organizace by měly shromažďovat pouze ty osobní údaje, které jsou nezbytné pro splnění účelu zpracování. Tím se minimalizuje riziko zneužití nebo ztráty údajů.
4. Přesnost
Osobní údaje musí být přesné a aktuální. Organizace jsou povinny zajistit, aby údaje, které mají, byly správné a v případě potřeby je opravit.
5. Uchovávání údajů
Osobní údaje nesmí být uchovávány déle, než je nezbytné pro účely, pro které byly shromážděny. Po uplynutí této doby by měly být údaje bezpečně odstraněny nebo anonymizovány.
6. Integrita a důvěrnost
Organizace musí zajistit, že osobní údaje budou zpracovávány způsobem, který zaručí jejich bezpečnost, včetně ochrany proti neoprávněnému přístupu nebo ztrátě.
7. Zodpovědnost
Organizace musí být schopny prokázat, že dodržují zásady ochrany osobních údajů a přijímají opatření k zajištění jejich dodržování.
Jak GDPR chrání jednotlivce
GDPR zavádí řadu práv pro jednotlivce, která jim poskytují větší kontrolu nad jejich osobními údaji. Mezi nejdůležitější patří:
1. Právo na přístup
Jednotlivci mají právo požadovat informace o tom, jaké osobní údaje o nich organizace shromažďují a jak s nimi nakládají. To zahrnuje právo na kopii těchto údajů.
2. Právo na opravu
Pokud jsou osobní údaje nepřesné nebo neúplné, jednotlivci mají právo je opravit.
3. Právo na vymazání (právo být zapomenut)
Jednotlivci mají právo požadovat, aby byly jejich osobní údaje vymazány, pokud již nejsou potřebné pro účely, pro které byly shromážděny, nebo pokud byl odvolán jejich souhlas se zpracováním.
4. Právo na omezení zpracování
Pokud je zpracování osobních údajů nepřesné nebo nelegální, jednotlivci mohou požádat o omezení zpracování těchto údajů, dokud nebude problém vyřešen.
5. Právo na přenositelnost údajů
Jednotlivci mají právo požadovat, aby jejich osobní údaje byly převedeny k jinému správci, pokud to je technicky proveditelné.
6. Právo na námitku
Jednotlivci mohou vznášet námitky proti zpracování jejich osobních údajů pro určité účely, například pro marketingové účely.
7. Právo na automatizované rozhodování
Jednotlivci mají právo, aby jejich osobní údaje nebyly zpracovávány výhradně automatizovanými prostředky, pokud by to vedlo k právním nebo obdobným účinkům.
Jak GDPR ovlivňuje organizace
Pro organizace, které zpracovávají osobní údaje, přináší GDPR řadu výzev. Organizace musí zajistit, že všechny procesy zpracování osobních údajů jsou v souladu s nařízením, což může zahrnovat revizi interních politik, školení zaměstnanců a implementaci technických opatření k ochraně dat.
Mezi klíčové povinnosti organizací patří:
Získání souhlasu: Pokud organizace zpracovává osobní údaje na základě souhlasu jednotlivce, musí tento souhlas získat způsobem, který je jasný, konkrétní a informovaný.
Oznámení o porušení bezpečnosti: Pokud dojde k úniku osobních údajů, organizace je povinna oznámit tento incident regulačním orgánům a postiženým jednotlivcům do 72 hodin.
Jmenování pověřence pro ochranu osobních údajů (DPO): V některých případech, zejména u větších organizací nebo těch, které zpracovávají citlivé údaje, je povinné jmenování pověřence pro ochranu osobních údajů.
Provedení posouzení vlivu na ochranu osobních údajů (DPIA): Organizace musí provádět posouzení vlivu na ochranu osobních údajů, pokud plánují zpracovávat osobní údaje způsobem, který může mít vysoké riziko pro práva a svobody jednotlivců.
Sankce za porušení GDPR
GDPR přináší přísné sankce pro organizace, které nedodržují pravidla ochrany osobních údajů. Maximální pokuty mohou dosáhnout až 20 milionů EUR nebo 4 % ročního celosvětového obratu organizace (podle toho, která částka je vyšší). To znamená, že i malé porušení pravidel může vést k vážným finančním důsledkům.
Pokuty jsou rozděleny do dvou kategorií:
Až 10 milionů EUR nebo 2 % ročního obratu: Tato pokuta se uplatňuje v případě menších porušení, například při nedodržení zásad zpracování osobních údajů nebo nesprávného zajištění bezpečnosti údajů.
Až 20 milionů EUR nebo 4 % ročního obratu: Tato pokuta se vztahuje na závažnější porušení, jako je nezískání souhlasu pro zpracování údajů nebo porušení práv jednotlivců.
Závěr
GDPR představuje významnou změnu v oblasti ochrany osobních údajů a její dodržování je klíčové pro ochranu práv jednotlivců. Organizace, které zpracovávají osobní údaje, musí přijmout opatření k zajištění souladu s nařízením, což zahrnuje nejen technické zabezpečení, ale také školení zaměstnanců a zavedení procesů pro správu údajů. Kromě ochrany soukromí jednotlivců pomáhá GDPR posílit důvěru veřejnosti a zlepšit celkovou transparentnost v oblasti zpracování osobních údajů.
