GDPR od 25.5.2018
25. května 2018 nabývá v celé Evropské Unii účinnosti nařízení Evropského parlamentu a Rady (EE) č. 2016/679 (dále jen "GDPR"), které je přímo aplikovatelné a závazné a je tedy součástí českého právního řádu.
GDPR je evolucí nikoliv však revolucí v ochraně osobních údajů občanů EU, sjednocuje úpravu ochrany osobních údajů ve všech členských zemích EU.
V České republice GDPR de facto nahrazuje zákon č. 101/2000 Sb., o ochraně osobních údajů, byť formálně zůstává v platnosti. Zákon o zpracování osobních údajů navazující na GDPR a výslovně rušící zákon o ochraně osobních údajů zatím nebyl přijat a je v Poslanecké sněmovně PČR projednáván jak tisk 138.
Nařízení se vztahuje na všechny osoby, které nějakým způsobem zpracovávají osobní údaje fyzických osob. Přizpůsobit se požadavkům na ochranu osobních údajů se tak budou muset nejen podnikatelé, ale i bytová družstva, společenství vlastníků jednotek, spolky, nadace, knihovny, školy atd.
Zpracování osobních údajů dle GDPR je založeno na několika základních pilířích: zákonnosti, přiměřenosti, transparentnosti, bezpečnosti a odpovědnosti.
Zákonností, jakožto základním pilířem zpracování, se rozumí takové oprávněné zpracování, které je založeno
- souhlasem subjektu údajů, nebo
- v souvislosti s plněním smlouvy, nebo
- na základě právní povinnosti, nebo
- nezbytnou ochranou zájmů subjektu údajů, nebo
- při výkonu veřejné moci, nebo
- ochranou oprávněných správce.
Přiměřeností se rozumí zpracování osobních údajů pouze v nezbytném rozsahu. Transparentností pak fakt, že správce, resp. zpracovatel srozumitelným a snadno přístupným způsobem informuje subjekt údajů proč, za jakým účelem jaké osobní údaje zpracovává a jaká jsou práva subjektu údajů.
Základem při aplikaci požadavků GDPR v každé organizaci je pak provedení analýzy zpracování osobních údajů (tj. zejména jaké kategorie údajů a za jakým účelem a na základě jakého právního titulu se zpracovávají, komu se předávají, jak jsou zabezpečeny), ze které vyplynou nutné kroky k harmonizaci ochrany dle GDPR (tj. např. zda je nutné vyžádat si, resp. vyžadovat ke zpracování osobních údajů souhlas subjektu údajů, či nikoliv).
Dozorovým orgánem je v České republice Úřad pro ochranu osobních údajů, na jehož stránkách lze též nalézt komplexní informace k GDPR.
Autor: Mgr. Jiří Buchvaldek
Máte zájem o konzultaci v oblasti GDPR?
Kontaktujte nás - napište nebo volejte.