GDPR – CO TO JE A KOHO SE TO TÝKÁ?

Obrázek uživatele Jana Pavlovičová
Jana Pavlovičová

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů. Obecné nařízení, veřejně známé pod zkratkou GDPR z anglického General Data Protection Regulation, bylo odhlasováno 27.4.2016 a vejde v platnost 25.5.2018.

Většina internetových zdrojů uvádí, že GDPR přináší „extrémní změny“ a dokonce až „nesplnitelné“ nároky pro společnosti spravující osobní údaje. Pravdou je, že oproti nyní platnému zákonu 101/2000 Sb. O ochraně osobních údajů, zavádí GDPR několik nových pojmů a posiluje práva fyzických osob, neboli subjektů údajů. Společnosti, které mají správně implementovanou „stojedničku“ však nemusí propadat panice a budou jim stačit dílčí procesní úpravy.

Záměrem zákonodárců bylo především umožnit občanům EU lepší kontrolu nad svými osobními údaji. Je tedy zřejmé, že se jedná o zákon posilující práva subjektů údajů. Proto se GDPR dotýká veškerých institucí (firem, společností, poskytovatelů online služeb, atd.), které zpracovávají osobní data fyzických osob na území Evropské unie a dále pak Islandu, Lichtenštejnska a Norska. Z Obecného nařízení vyplývá sjednocení účinku pravidel ochrany osobních údajů i sjednocení postihu za jejich nedodržení formou správní pokuty.

Dvouleté období mezi schválením Obecného nařízení a jeho vstupem v platnost bylo zamýšleno k přípravě. Implementace GDPR pro instituce obnáší zejména analýzu sběru a zpracovávání osobních údajů, revizi informačních systémů a úpravu vnitřních procesů.

Členské státy mají za povinnost do doby platnosti uveřejnit prováděcí zákon upravující body zákona svěřené do národní pravomoci. Českým regulátorem i nadále zůstává Úřad pro ochranu osobních údajů „ÚOOÚ“, je ale podřízen Evropskému sboru pro ochranu osobních údajů „EDPB“. V případě nesouhlasu s rozhodnutím ÚOOÚ bude proto možné odvolat se k EDPB.

Za nedodržení pravidel z GDPR vyplývajících hrozí sjednocený postih formou správní pokuty: 20mil EUR nebo 4% z celkového ročního obratu společnosti. Výše pokuty se bude určovat dle vyhodnocení míry provinění.

Míra provinění se pak určuje zejména dle plnění následujících bodů:

  • jmenování pověřence pro ochranu osobních údajů = DPO (Data Protection Officer)

  • úmysl či nedbalost

  • míra způsobené škody (počet dotčených subjektů, kategorie příslušných údajů)

  • opatření správce a/nebo zpracovatele ke zmírnění škody

  • míra spolupráce s dozorovým orgánem

  • informovanost dozorového úřadu – vlastní nahlášení o úniku informací

 

 

V případě dotazů k tomuto článku prosím kontaktuje jeho autora (Jana Pavlovičová).

 

Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty.

Mezi naše klienty patří

 

              Bytové družstvo DRUŽBA                                           Solitea CDL, a.s.

   BEROUN GOLF CLUB            

 

Napište nám
Kontakty

Pobočka Ústí nad Labem,
Všebořická 82/2,

+420 474745134
info@22hlav.cz

Pobočka Praha,
Doudlebská 1699/5,

+420 230234554
info@22hlav.cz