GDPR – CO TO JE A KOHO SE TO TÝKÁ?
Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů. Obecné nařízení, veřejně známé pod zkratkou GDPR z anglického General Data Protection Regulation, bylo odhlasováno 27.4.2016 a vejde v platnost 25.5.2018.
Většina internetových zdrojů uvádí, že GDPR přináší „extrémní změny“ a dokonce až „nesplnitelné“ nároky pro společnosti spravující osobní údaje. Pravdou je, že oproti nyní platnému zákonu 101/2000 Sb. O ochraně osobních údajů, zavádí GDPR několik nových pojmů a posiluje práva fyzických osob, neboli subjektů údajů. Společnosti, které mají správně implementovanou „stojedničku“ však nemusí propadat panice a budou jim stačit dílčí procesní úpravy.
Záměrem zákonodárců bylo především umožnit občanům EU lepší kontrolu nad svými osobními údaji. Je tedy zřejmé, že se jedná o zákon posilující práva subjektů údajů. Proto se GDPR dotýká veškerých institucí (firem, společností, poskytovatelů online služeb, atd.), které zpracovávají osobní data fyzických osob na území Evropské unie a dále pak Islandu, Lichtenštejnska a Norska. Z Obecného nařízení vyplývá sjednocení účinku pravidel ochrany osobních údajů i sjednocení postihu za jejich nedodržení formou správní pokuty.
Dvouleté období mezi schválením Obecného nařízení a jeho vstupem v platnost bylo zamýšleno k přípravě. Implementace GDPR pro instituce obnáší zejména analýzu sběru a zpracovávání osobních údajů, revizi informačních systémů a úpravu vnitřních procesů.
Členské státy mají za povinnost do doby platnosti uveřejnit prováděcí zákon upravující body zákona svěřené do národní pravomoci. Českým regulátorem i nadále zůstává Úřad pro ochranu osobních údajů „ÚOOÚ“, je ale podřízen Evropskému sboru pro ochranu osobních údajů „EDPB“. V případě nesouhlasu s rozhodnutím ÚOOÚ bude proto možné odvolat se k EDPB.
Za nedodržení pravidel z GDPR vyplývajících hrozí sjednocený postih formou správní pokuty: 20mil EUR nebo 4% z celkového ročního obratu společnosti. Výše pokuty se bude určovat dle vyhodnocení míry provinění.
Míra provinění se pak určuje zejména dle plnění následujících bodů:
-
jmenování pověřence pro ochranu osobních údajů = DPO (Data Protection Officer)
-
úmysl či nedbalost
-
míra způsobené škody (počet dotčených subjektů, kategorie příslušných údajů)
-
opatření správce a/nebo zpracovatele ke zmírnění škody
-
míra spolupráce s dozorovým orgánem
-
informovanost dozorového úřadu – vlastní nahlášení o úniku informací
V případě dotazů k tomuto článku prosím kontaktuje jeho autora (Jana Pavlovičová).
Tento i všechny ostatní články zveřejněné na těchto stránkách vyjadřují názor jejich autorů, nejde o právně závazné dokumenty.