FAQ

 

Zkratka GDPR z anglického překladu General Data Protection Regulation znamená Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46 / ES (obecné nařízení o ochraně údajů ). Nařízení je aplikovatelné ve všech členských státech na území Evropské unie nebo Evropského hospodářského prostoru.

Jeho cílem je upřesnit povinnosti správců a zprostředkovatelů při zpracovávání osobních údajů, upřesnit práva subjektů údajů a zajistit ochranu osobních údajů v rámci celé Unie.

Nařízení vstoupilo v platnost dne 25. května 2018. Spolu s nařízením vstoupil v platnost i zákon č. 18/2018 Sb. o ochraně osobních údajů, který tvoří komplexní legislativní rámec pro ochranu osobních údajů v Slovenské republice.

Nařízení GDPR se týká každého, kdo zpracovává osobní údaje. V praxi se častokrát setkáváme s názorem: "Moje firma je malá, GDPR se jí netýká." Nezáleží na velikosti společnosti, či počtu zaměstnanců. GDPR se týká každého správce, který zpracovává osobní údaje zaměstnanců, zákazníků, obchodních partnerů, dokonce i odběratelů newsletterů.

Nařízení GDPR se nevztahuje na zpracování osobních údajů v rámci osobní nebo domácí činnosti. Jde o údaje, které fyzická osoba zpracovává pro vlastní potřebu, například vedení osobního adresáře, monitorování domácnosti prostřednictvím kamerového systému, nebo vedení osobní korespondence.

Za osobní údaj se dá považovat jakýkoliv druh informace o osobě, který se týká jejího soukromého, pracovního nebo veřejného života.

Podle Nařízení GDPR se za osobní údaje považují veškeré informace týkající se identifikované nebo identifikovatelné fyzické, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor, nebo odkaz na jeden či více prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu této fyzické osoby.

Za osobní údaj se považuje i fotografie nebo videozáznam, pokud je jejich prostřednictvím možné jednotlivce identifikovat. Co se týče formy osobních údajů, ty se mohou nacházet ve formě papírové, elektronické, číselné, grafické a pod.

Mezi zvláštní kategorii osobních údajů (citlivé osobní údaje) se zařazují údaje, které odhalují rasový původ nebo etnický původ, politické názory, náboženskou víru, filozofické přesvědčení, členství v odborech, genetické údaje, biometrické údaje, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby.

Zpracování zvláštní kategorie osobních údajů se zakazuje, pokud není možné uplatnit alespoň jednu z výjimek dle §16 odst. 2 zákona č. 18/2018 Sb. o ochraně osobních údajů.

Zpracování citlivých osobních údajů by mohlo mít za následek ohrožení práv subjektů údajů, proto si zpracování těchto údajů vyžaduje vyšší ochranu a bezpečnost.

Zpracování osobních údajů je jakýkoliv soubor operací a činností s osobními údaji. Mezi nejčastější operace patří získávání, shromažďování, šíření, zaznamenávání, uspořádávání, přizpůsobování nebo pozměňování, vyhledávání, prohlížení, přeskupování, kombinování, přemisťování, využívání, uchovávání, blokování, likvidace, jejich přeshraniční přenos, poskytování, zpřístupňování nebo zveřejňování.

Správcem může být orgán státní správy, orgán územní samosprávy, jiný orgán veřejné moci nebo jakákoli jiná právnická nebo fyzická osoba, která sama nebo společně s jinými vymezí účel a podmínky zpracování osobních údajů a zpracovává osobní údaje fyzických osob vlastním jménem.

Správce je zodpovědný za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinen tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat.

Subjektem údajůje každá fyzická osoba, které se osobní údaje týkají. Subjektem údajů může být jen fyzická osoba - jednotlivec, nikoli právnická osoba.

V postavení subjektu údajů může být zaměstnanec vůči zaměstnavateli, který o něm zpracovává osobní údaje v příslušných agendách. Subjektem údajů může být i zákazník, jehož osobní údaje se zpracovávají, například za účelem prodeje. Za subjekt údajů se považuje i jednotlivec, který souhlasil se zpracováním svých osobních údajů pro účely marketingu v rozsahu jména, příjmení a mailové adresy.

Výše pokuty může dosáhnout až 20 milionů eur nebo 4 % ročního obratu dané firmy v závislosti na tom, která částka bude vyšší.