Vše, co potřebujete vědět o GDPR

20.04.2018 | , Finance.cz
Spotřebitel


perex-img Zdroj: Shutterstock

Nařízení GDPR se skloňuje především u podnikatelů a dalších subjektů, jako jsou státní úřady, prostě u všech, kteří skladují právě vaše osobní údaje pro různé účely. Co ale toto nařízení znamená pro nás běžné spotřebitele?

Co znamená GDPR?

GDPR je zkratka vycházející z anglického pojmenování obecného nařízení Evropské komise o ochraně osobních údajů, neboli General Data Protection Regulation. Jaká jsou další základní data o GDPR?

  • Obecné nařízení bylo přijato v dubnu 2016.
  • Jde o nařízení, je to tedy právní akt EU, který nebylo nutno přenášet do národního práva, toto nařízení je platné od stanoveného data.
  • Některé části ale byly nechány v pravomocích členských států.
  • V účinnost nařízení o GDPR vstoupí 25. května 2018.
  • Je to nový právní rámec pro ochranu osobních údajů občanů EU, který zavádí celkem přísné pokuty a také nový institut kontrolní funkce Pověřence pro ochranu osobních ůdajů.
  • GDPR se týká právnických společností, státních institucí i jednotlivců, kteří shromažďují a uchovávají data uživatelů.
  • Nařízení výrazně reguluje online služby, a reaguje tak na rozvoj znalostní společnosti a rozšíření internetu, především pak na fakt, že se náš život přesunul online.
  • GDPR přináší ochranu digitálních práv občanů.
  • 7 kroků, jak přežít GDPR, pokud ho musíte implementovat

My jsme v ČR před tím nechránili osobní údaje?

Osobní údaje a zacházení s nimi bylo v České republice upraveno doposud zákonem č 101/2000 Sb., o ochraně osobních údajů. Další platnou úpravou na evropské úrovni byla směrnice 95/46/ES, která byla tímto zákonem přejata do českého právního řádu. Ochranou osobních údajů českých občanů byl také pověřen Úřad pro ochranu osobních údajů. Tato právní úprava bude z velké části od května nahrazena právě novým nařízením o GDPR.

Nařízení počítá s tím, že některé oblasti ochrany osobních údajů budou dále upraveny i národními zákony, konkrétně jde o více než padesát oblastí, například zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby. Český Úřad pro ochranu osobních údajů bude nově podřízen Evropskému sboru pro ochranu osobních údajů, a vždy tak bude možné odvolání na evropskou úroveň při pochybnosti o správné úpravě.

(foto: Shutterstock)

Proč tedy bylo GDPR přijato?

Nařízení Komise zaprvé přináší sjednocení národních úprav a zákonného práva na celém území Evropské unie. Posiluje tak roli vnitřního trhu a usnadňuje právní úpravu ochrany osobních údajů. Díky sjednocení bude jasné, jaká je základní úroveň ochrany osobních údajů na celém území vnitřního trhu, což usnadní přeshraniční pohyb zboží a služeb mezi členskými zeměmi, tedy například fungování evropských eshopů nebo poskytování služeb na internetu.

Nařízení znamená stejnou vymahatelnost práva na území celé EU, sjednocení sankcí a také nadnárodní spolupráci státních orgánů, které jsou zodpovědné za dozor nad ochranou osobních údajů. Nařízení tak reaguje především na technologické změny, ke kterým došlo za posledních 20 let a také na rostoucí propojení vnitřního trhu Evropského hospodářského prostoru. Zároveň také reflektuje skutečnost, že v současné době je stále obtížnější ochránit svou osobní svobodu a že existují například online služby, které o vás sbírají až příliš osobních dat.

Kdo všechno by si měl dát na GDPR pozor?

  • Všichni: firmy, instituce, jednotlivci.
  • Zaměstnavatelé, protože shromažďují údaje o svých zaměstnancích.
  • Obchody, které mají věrnostní programy.
  • Eshopy, které mají možnost vytvoření uživatelských účtů.
  • Lékaři a nemocnice, které ví všechno o svých pacientech.
  • Datoví analytici, kteří sledují chování uživatelů na internetu.
  • Poskytovatelé aplikací, které sbírají data o svých uživatelích.
  • Banky, u kterých máte účet.
  • Úřad práce, kde jste se registrovali v nezaměstnanosti.
  • Vlastně kdokoliv, kdo o vás ví něco osobního a tuto informaci si někam schovává.

Co je to osobní údaj?

Právní úprava toho, co je považováno za osobní údaj zůstává v podstatě stejná. Jsou to veškeré informace, které mohou vést k identifikaci fyzické osoby. Například jsou za osobní a citlivé informace považovány:

  • jméno, pohlaví, věk, datum narození, stav, adresa, telefon,
  • fotografie,
  • IP adresa, email,
  • identifikační údaje vydané státem (IČO, DIČ, číslo OP, RČ a další),
  • etnický a rasový původ, politické názory, náboženství, sexuální orientace,
  • zdravotní stav, genetické a biometrické údaje,
  • osobní údaje vašich dětí,
  • další.

Nařízení rozlišuje osobní a citlivé osobní údaje, mezi ty citlivé například patří náboženské nebo politické názory, tyto citlivé osobní údaje podléhají mnohem přísnějšímu režimu.

Co GDPR neupravuje? Z působnosti nařízení jsou vyjmuty údaje, které byly anonymizovány, údaje o zemřelých a údaje, které získala fyzická osoba při činnosti osobní povahy, tedy při činnosti, která neměla obchodní nebo institucionální charakter. Můžete si tak bez problémů nechat v telefonu všechna svá telefonní čísla i s fotkou. Tyto údaje ale můžete použít pouze pro osobní potřebu.

Je GDPR administrativně náročné?

Ano, pro subjekty, které jsou povinné GDPR při své činnost zavést, zavádí nařízení plno pokynů a mechanismů, které musí dodržovat po celou dobu zpracovávání osobních informací občanů. Nutností je dokumentace faktu, že jsou shromažďovány pouze skutečnosti, které jsou nezbytné k danému účelu.


Co všechno já jako občan díky GDPR můžu?

  • Nařízení nejen ukládá povinnosti subjektům, jak shromažďovat a uchovávat osobní údaje, ale také rozšiřuje práva občanů.
  • Můžete tak požádat o přístup ke shromažďovaným údajům o své osobě. Ten musí být zajištěn nejlépe přímo a online.
  • Máte právo být informován o tom, za jakým účelem se vaše osobní údaje zpracovávají.
  • Máte právo na vymazání údajů o své osobě.
  • Máte právo být zapomenut, pokud už není důvod pro uchovávání vašich osobních údajů.
  • Platí povinnost vás informovat, pokud bude porušena bezpečnost uchovávání údajů.
  • Tato práva máte stejná ve všech členských zemích EU.

Jaké jsou sankce za porušení?

Nařízení GDPR také zavádí velmi vysoké pokuty, které přesahují výrazně pokuty za porušení ochrany osobních údajů, které byly platné do dnešní doby. Maximální výše pokuty je tak stanovena na 20 miliónů €, nebo 4 % z ročního obratu společnosti, přičemž platí ta vyšší z obou možností. Pokuta tak může dosahovat opravdu astronomických výšin a pro malé podnikatele může být likvidační. Výše udělené pokuty bude samozřejmě stanovena na základě řady faktorů, například na závažnosti porušení, na počtu poškozených osobních práv občanů, na míře škody nebo na tom, jaké byly podniknuty kroky pro zmírnění a zamezení škod.

Kromě pokut, které udělují orgány zodpovědné za dohled nad ochranou osobních údajů, budou podnikatelé vystaveni i žalobám, které mohou podat fyzické osoby při porušení osobních práv, které jim dává nařízení GDPR. Kromě sankcí za porušení budou muset společnosti vynaložit i další finanční prostředky při zavedení dostatečné ochrany a při zajišťování dostatečné míry ochrany držených osobních údajů občanů.

Štítky:

Autor článku

Redakce

Redakce  


Pomohl vám tento obsah? Dejte mu hodnocení:

Průměrné hodnocení: 3.5
Hlasováno: 18 krát

Články ze sekce: Spotřebitel