Co je GDPR (ONOOÚ). Definice, legislativa, sankce, náplň a povinnosti

Rubrika: Kybernetická bezpečnost a bezpečnost informací

Datum: 21.12.2022

Aktualizace: 21.12.2022

Mohlo by Vás zajímat

Zajímá vás ochrana osobních údajů nebo byste jen chtěli mít konečně jasno a přehled o této problematice? Připravili jsme pro vás ucelený článek o tom, co je GDPR (ONOOÚ) včetně definice, přehledu legislativy, sankcí, náplně a povinností pro firmy, organizace i podnikatele.

Obsah článku:

  • Definice GDPR (OONOÚ)
  • Legislativa pro ochranu osobních údajů
  • Rozsah a sankce za porušování GDPR
  • Náplň, povinnosti a klíčové body GDPR

Definice GDPR (OONOÚ)

GDPR je zkratka z anglického „General Data Protection Regulation“, v českém jazyce známá jako ONOOÚ - „Obecné nařízení o ochraně osobních údajů“. Toto nařízení Evropského parlamentu a Rady (EU) nastavuje zásady a pravidla pro ochranu osobních údajů fyzických osob. Účelem GDPR je poskytnout soubor standardizovaných zákonů všem členským zemím, lepší porozumění problematice ochrany osobních a citlivých údajů a zlepšení kybernetické bezpečnosti.

Základní pojmy v GDPR

Nařízení GDPR obsáhle definuje celou řadu právních pojmů. Níže jsou uvedeny ty nejdůležitější.

Osobní údaje

Osobní údaje jsou jakékoliv informace, které se týkají jednotlivce, kterého lze přímo nebo nepřímo identifikovat. Osobními údaji mohou být např.:

  • jména osob,
  • e-mailové adresy,
  • informace o poloze,
  • etnická příslušnost,
  • pohlaví,
  • biometrické údaje,
  • náboženské přesvědčení,
  • webové soubory cookie,
  • politické názory.

Pseudonymní data (přezdívky) mohou také spadat pod definici, pokud je relativně snadné z nich někoho identifikovat.

Zpracování dat

Zpracování dat je jakákoliv akce prováděná s daty, ať už automatizovaná nebo manuální. Jedná se např. o:

  • shromažďování,
  • nahrávání,
  • organizování,
  • strukturování,
  • ukládání,
  • používání,
  • mazání apod.

Subjekt údajů

Subjekt údajů je osoba, jejíž údaje jsou zpracovávány. Jsou to např. zákazníci nebo návštěvníci webu, s jejichž daty (jmény, kontakty apod.) se operuje. Jsou to ale také zaměstnanci nebo třeba obyvatelé obce.

Správce údajů

Správce údajů je osoba, která rozhoduje o tom, proč a jak budou osobní údaje subjektů zpracovávány. Pokud jste vlastníkem nebo zaměstnavatelem organizace, která zpracovává data (osobní a citlivé údaje), jste právě vy správcem údajů.

Zpracovatel údajů

Zpracovatel údajů je třetí strana, která zpracovává osobní údaje jménem správce údajů. Mohou to být např. cloudové servery nebo poskytovatelé e-mailových služeb. GDPR má pro tyto jednotlivce a organizace zvláštní pravidla.

Historie GDPR

Z historického hlediska lze ochranu osobních údajů na evropské úrovni rozdělit do tří zásadních období: 1950, 1995 a 2016.

1950 - právo na soukromí

Právo na soukromí je součástí Evropské úmluvy o lidských právech z roku 1950, která říká, že: „Každý má právo na respektování svého soukromého a rodinného života, svého domova a své korespondence.“ Na tomto základě Evropská unie zajišťuje ochranu tohoto práva prostřednictvím právních předpisů.

1995 - první směrnice o ochraně údajů

Technologie šly neustále dopředu a byl vynalezen internet. Evropská unie si uvědomila, že s jeho příchodem bude potřeba nastavit také moderní bezpečnostní ochranu, a tak v roce 1995 schválila první evropskou směrnici o ochraně údajů, která stanovila minimální standardy ochrany osobních údajů a zabezpečení, na nichž každý členský stát založil svůj vlastní prováděcí zákon. Krátce předtím, v roce 1994, se na internetu objevila první bannerová reklama. V roce 2000 většina finančních institucí nabízela online bankovnictví. V roce 2006 se Facebook otevřel veřejnosti. V roce 2011 uživatel Googlu zažaloval společnost za skenování jeho e-mailů. Dva měsíce poté evropský úřad pro ochranu údajů prohlásil, že EU potřebuje komplexní přístup k ochraně osobních údajů, a tak začaly práce na aktualizaci směrnice z roku 1995.

2016 - vznik nařízení GDPR

V roce 2016 konečně vstoupilo v platnost nařízení GDPR s tím, že od 25. května 2018 s ním musely být všechny organizace v souladu.

Legislativa pro ochranu osobních údajů

Ochrana osobních údajů se řídí několika legislativními rámci.

Ústavní základ tvoří:

  • úmluva Rady Evropy č. 108 z roku 1981;
  • článek 8 Charty základních práv EU;
  • článek 16 Smlouvy o fungování Evropské unie;
  • článek 7, 10 odst. 3 a 13 Listiny základních práv a svobod.

Na evropské úrovni je stěžejním:

  • NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
  • SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

V české legislativě je stěžejním:

  • Zákon č. 89/2012 Sb. občanský zákoník;
  • Zákon č. 110/2019 Sb. o zpracování osobních údajů.

Rozsah a sankce za porušování GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) vstoupilo v platnost 25. května 2018 a je to nejpřísnější zákon na ochranu soukromí a bezpečnosti na světě. Ačkoliv byl tento zákon navržen a schválen Evropskou unií, ukládá povinnosti všem světovým organizacím, které zpracovávají nebo shromažďují údaje týkající se osob v EU. Pokud tedy zpracováváte osobní údaje občanů nebo rezidentů EU nebo těmto osobám nabízíte zboží či služby, pak  se na vás GDPR vztahuje, i když nejste z nebo v EU.

Sankce a pokuty za porušení nařízení GDPR jsou velmi vysoké. Existují dvě úrovně sankcí, které dosahují maximální výše 20 milionů EUR nebo 4 % celkových příjmů, podle toho, co je vyšší. Platí také to, že poškozené subjekty mají právo požadovat náhradu škody.

Náplň, povinnosti a klíčové body GDPR

Ochranu osobních údajů podle nařízení GDPR lze rozdělit do následujících klíčových regulačních bodů:

  • Zásady ochrany dat
  • Odpovědnost
  • Bezpečnost dat
  • Ochrana dat podle návrhu a ve výchozím nastavení
  • Kdy smíte zpracovávat data
  • Souhlas
  • Pověřenci pro ochranu osobních údajů
  • Práva na soukromí lidí

Zásady ochrany dat

Pokud zpracováváte údaje, musíte tak činit podle sedmi zásad ochrany a odpovědnosti.

  • Zákonnost, spravedlnost a transparentnost - zpracování musí být zákonné, spravedlivé a transparentní pro subjekt údajů.
  • Omezení účelu - údaje musíte zpracovávat pouze pro legitimní účely a musí být výslovně specifikované subjektu údajů.
  • Minimalizace dat - měli byste shromažďovat a zpracovávat pouze tolik dat, kolik je nezbytně nutné pro uvedené účely.
  • Přesnost - osobní údaje musíte udržovat přesné a aktuální.
  • Omezení úložiště - osobní identifikační údaje můžete uchovávat pouze po dobu nezbytně nutnou pro daný účel.
  • Integrita a důvěrnost - zpracování musí být provedeno takovým způsobem, aby byla zajištěna náležitá bezpečnost, integrita a důvěrnost, např. pomocí šifrování.
  • Odpovědnost - správce údajů je odpovědný za to, že je schopen prokázat soulad se zásadami GDPR.

Zdroj: Článek 5 - Zásady zpracování osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Odpovědnost správce

GDPR říká, že správci údajů musí být schopni prokázat, že jsou v souladu s GDPR. Pokud si myslíte, že jste v souladu, ale nemůžete prokázat jak konkrétně, pak nejste v souladu. Být v souladu s GDPR znamená, že:

  • máte určenou odpovědnost za ochranu dat svého týmu;
  • udržujete podrobnou dokumentaci údajů, které shromažďujete, včetně toho, jak jsou používány, kde jsou uloženy, který zaměstnanec je za ně zodpovědný atd.;
  • máte vyškolené zaměstnance a zavedená technická a organizační bezpečnostní opatření;
  • máte uzavřené smlouvy o zpracování údajů s třetími stranami;
  • máte jmenovaného pověřence pro ochranu osobních údajů (ne všechny organizace ho potřebují).

Zdroj: Článek 24 - Odpovědnost správce (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Bezpečnost dat

Jste povinni zacházet s daty bezpečně zavedením příslušných technických a organizačních opatření.

Technická opatření znamenají cokoliv od požadavku, aby vaši zaměstnanci používali dvoufaktorové ověřování na účtech, kde jsou uložena osobní data, až po uzavření smlouvy s poskytovateli cloudu, kteří používají šifrování typu end-to-end.

Organizační opatření jsou věci jako školení zaměstnanců, přidání zásad ochrany osobních údajů do vaší příručky pro zaměstnance nebo omezení přístupu k osobním údajům pouze těm zaměstnancům ve vaší organizaci, kteří to potřebují.

Zdroj: 78. důvod (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Ochrana osobních údajů

V podstatě vše, co ve vaší organizaci děláte, musí zohledňovat ochranu dat. Prakticky to znamená, že při návrhu jakéhokoliv nového produktu nebo činnosti musíte vzít v úvahu zásady ochrany údajů. GDPR tuto zásadu pokrývá v článku 25.

Předpokládejme například, že spouštíte novou aplikaci pro vaši společnost. Musíte se zamyslet nad tím, jaké osobní údaje by aplikace mohla případně shromažďovat od uživatelů, poté zvážit způsoby, jak minimalizovat množství dat a jak je zajistíte pomocí nejnovějších technologií proti neoprávněnému přístupu či zpracování.

Zdroj: Článek 25 - Záměrná a standardní ochrana osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Zákonnost zpracování dat

Článek 6 uvádí případy, kdy je legální zpracovávat osobní údaje. Ani nepřemýšlejte o tom, že byste se dotkli něčích osobních údajů - neshromažďujte je, neuchovávejte je a neprodávejte je inzerentům, pokud to nemůžete ospravedlnit jedním z následujících:

  • subjekt údajů vám udělil konkrétní a jednoznačný souhlas se zpracováním údajů (např. se přihlásil do vašeho seznamu marketingových e-mailů);
  • zpracování je nezbytné pro uzavření nebo přípravu k uzavření smlouvy, jejíž smluvní stranou je subjekt údajů (např. před pronájmem nemovitosti potenciálnímu zájemci musíte provést kontrolu serióznosti);
  • musíte jej zpracovat, abyste splnili svou zákonnou povinnost (např. obdržíte příkaz od soudu ve vaší jurisdikci);
  • potřebujete zpracovat data, abyste zachránili něčí život;
  • zpracování je nezbytné k plnění úkolu ve veřejném zájmu nebo k výkonu nějaké úřední funkce (např. jste soukromá společnost pro svoz odpadu nebo vodovodní sítě);
  • máte oprávněný zájem zpracovávat něčí osobní údaje. Jedná se o nejflexibilnější právní základ, ačkoliv „základní práva a svobody subjektu údajů“ vždy převažují nad vašimi zájmy, zejména pokud se jedná o údaje dítěte. Je těžké uvést konkrétní příklad, protože existuje celá řada faktorů, které budete muset ve svém případě zvážit.

Jakmile určíte zákonný základ pro zpracování vašich údajů, musíte tento základ zdokumentovat a upozornit subjekt údajů (transparentnost!). A pokud se později rozhodnete své odůvodnění změnit, musíte mít dobrý důvod, tento důvod doložit a oznámit to subjektu údajů.

Zdroj: Článek 6 - Zákonnost zpracování (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Podmínky souhlasu

Existují přísná pravidla o tom, co představuje souhlas subjektu údajů se zpracováním jeho informací.

  • Souhlas musí být „svobodně daný, konkrétní, informovaný a jednoznačný“.
  • Žádost o souhlas musí být „jasně odlišitelná od ostatních záležitostí“ a předložena „jasným a jednoduchým jazykem“.
  • Subjekty údajů mohou odvolat dříve udělený souhlas, kdykoliv chtějí, a vy musíte jejich rozhodnutí respektovat. Nemůžete jednoduše změnit právní základ zpracování na jedno z dalších odůvodnění.
  • Děti do 13 let mohou dát souhlas pouze se souhlasem rodičů.
  • Musíte si uchovat listinné důkazy o udělení souhlasu.

Zdroj: Článek 7 - Podmínky vyjádření souhlasu (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Pověřenci pro ochranu osobních údajů

Na rozdíl od všeobecného přesvědčení nemusí každý správce údajů nebo zpracovatel jmenovat pověřence pro ochranu osobních údajů (DPO). Existují tři podmínky, za kterých jste povinni jmenovat DPO:

  • jste orgán veřejné moci, jiný než jednající v soudní pravomoci;
  • vaše hlavní činnosti vyžadují, abyste systematicky a pravidelně sledovali lidi ve velkém měřítku (např. Google, Seznam);
  • vaší hlavní činností je rozsáhlé zpracování zvláštních kategorií údajů (např. rasový či etnický původ, politické názory, náboženské či filozofické přesvědčení, členství v oborech, zdravotní stav, sexuální orientace, genetické a biometrické údaje) uvedených v článku 9 GDPR nebo údajů týkajících se odsouzení za trestné činy a trestných činů uvedených v článku 10.

Můžete se také rozhodnout, že určíte DPO, i když to není vaše povinnost. Mít někoho v této roli má totiž své výhody. Mezi jejich základní úkoly patří porozumění GDPR a tomu, jak se vztahuje na organizaci, radit lidem v organizaci o jejich povinnostech, provádět školení o ochraně dat, provádět audity, sledovat soulad s GDPR a sloužit jako prostředník s regulačními orgány.

Zdroj: Oddíl 4 - Pověřenec pro ochranu osobních údajů (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

Práva na soukromí lidí

Jste správcem údajů a/nebo zpracovatelem údajů. Ale jako člověk, který používá internet, jste také subjektem údajů. GDPR uznává řadu práv na ochranu soukromí pro subjekty údajů, jejichž cílem je poskytnout jednotlivcům větší kontrolu nad údaji, které půjčují organizacím. Jako organizace je důležité těmto právům porozumět, abyste zajistili, že budete v souladu s GDPR.

Níže je uveden přehled práv na ochranu osobních údajů subjektů údajů:

  • právo být informován;
  • právo přístupu;
  • právo na opravu;
  • právo na výmaz;
  • právo na omezení zpracování;
  • právo na přenositelnost údajů;
  • právo vznést námitku;
  • práva v souvislosti s automatizovaným rozhodováním a profilováním.

Zdroj: Kapitola 3, článek 12-23 (Nařízení Evropského parlamentu a Rady (EU) 2016/679)

POŽÁDEJTE O ZASLÁNÍ

NABÍDKY JEŠTĚ DNES