Obecné nařízení

Obecné nařízení - GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679, kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.

Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Obecné nařízení o ochraně osobních údajů, na jehož přípravě se Česká republika podílela, má celoevropskou působnost a v ČR i v ostatních členských státech EU bude účinné od května 2018.

Co přináší Obecné nařízení (GDPR)?


Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Nové požadavky na zabezpečení

GDPR nařízení klade významné nároky na smluvní a technické zajištění ochrany a zpracování osobních údajů.
Vyžaduje změny všech smluvních ujednání obsahujících osobní údaje. Veškerá místa výskytu osobních údajů bude nutné doplnit o nové funkcionality a procesy pro zajištění bezpečnosti osobních údajů při jejich zpracování.
Organizace se tak nevyhnou zásadním změnám architektury informačních systémů. V mnohých případech bude nutné stávající informační systémy nahradit novými. Požadavky na zajištění bezpečnosti osobních dat vyžadují nové, zatím běžně nepoužívané postupy zajištění přístupu - kryptování dat, logování přístupů, tvar hesel a pod.
Nařízení GDPR vyžaduje proaktivní a preventivní přístup k ochraně dat a nikoli reaktivní a nápravný.

Mění postavení subjektu údajů

GDPR nařízení mění pravidla předávání osobních údajů třetím stranám a zásadně zvýhodňuje postavení subjektu osobních údajů.
Nově je při předávání osobních dat mezi správcem a zpracovatelem vyžadováno uzavření smluvního ujednání.
Je vyžadována specifikace účelu zpracování, pro který budou osobní údaje shromažďovány, využívány a uchovávány, a to srozumitelným, svobodným a odvolatelným způsobem vůči subjektu údajů a vždy před zahájením jejich zpracování.
Subjekt osobních údajů má právo přístupu k údajům a právo na jejich přenositelnost. Také má právo vznášet námitky a má právo na omezení zpracování dat. Námitka proti přímému marketingu je přitom absolutní.

Zavádí nové sankce

Zavádí zejména povinnost evidence všech prováděných zpracování, bezpečnostních událostí a hlášení incidentů.
Sankce za nedodržení nařízení mohou být dle charakteru a závažnosti incidentu až 4% z celkového obratu společnosti nebo až 20 milionů EUR.
Sankce budou uplatňovány orgánem dohledu zejména v případě nehlášení incidentů a budou na principu rovnosti udělovány dle rozhodovací praxe v rámci EU jednotně.

Vytváří nové povinnosti a ruší povinnost registrace u ÚOOÚ

Vedle povinnosti evidence žádostí subjektů osobních údajů, povinnosti evidence zpracování a hlášení incidentů, zavádí nařízení GDPR také povinnost řídit rizika, zajišťovat jejich aktualizaci a povinnost zavést opatření k prokázání souladu s GDPR.
Nařízení nově vytváří pro vybrané organizace povinnost jmenovat Pověřence pro ochranu osobních údajů - DPO (Data Protection Officer). Některé organizace si vystačí s externím DPO, ale větší organizace musí vytvořit nové pracovní pozice pro DPO a jeho tým.
Přípravu na zavedení GDPR nařízení je proto dobré neodkládat.
___________
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)




Přiložené soubory


03.08.2017 (autor Redakce)





Související

Aktuální pokyny WP29 k souhlasu a k transparentnosti

Úřad pro ochranu osobních údajů zveřejnil schválené pokyny Pracovní skupiny WP29 k souhlasu a k...

 vydáno 21.02.2018 
Téma: Dokumentace GDPR / GDPR a smlouvy

Zveřejněna vodítka WP29 k transparentnosti

Další neoficiální překlad materiálu Pracovní skupiny WP29 zveřejnil na svých webových stránkách Úřad pro...

 vydáno 14.02.2018 
Téma: Dokumentace GDPR / GDPR a smlouvy

Regionální semináře MPO a CzechInvestu k GDPR

V souladu se svou strategií pro intenzivní šíření osvěty k GDPR zahajuje Ministerstvo průmyslu a obchodu, ve...

 vydáno 09.02.2018 
Téma: Vzdělávání



Související dotazy
Odpovídá Mgr. Martin Leskovjan
Ano, pokud se v rámci bytového domu vede oficiální evidence těchto stížností a průběhu jejich řešení, může jít o zpracování citlivých údajů, resp....

Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...

Odpovídá Mgr. Nikola Dohnalová
Povinnost jmenovat pověřence pro ochranu osobních údajů je dána správci a zpracovateli pouze v případě, kdy: a) zpracování provádí orgán veřejné...



www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz