Obecné nařízení

Obecné nařízení - GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679, kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.

Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Obecné nařízení o ochraně osobních údajů, na jehož přípravě se Česká republika podílela, má celoevropskou působnost a v ČR i v ostatních členských státech EU bude účinné od května 2018.

Co přináší Obecné nařízení (GDPR)?


Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Nové požadavky na zabezpečení

GDPR nařízení klade významné nároky na smluvní a technické zajištění ochrany a zpracování osobních údajů.
Vyžaduje změny všech smluvních ujednání obsahujících osobní údaje. Veškerá místa výskytu osobních údajů bude nutné doplnit o nové funkcionality a procesy pro zajištění bezpečnosti osobních údajů při jejich zpracování.
Organizace se tak nevyhnou zásadním změnám architektury informačních systémů. V mnohých případech bude nutné stávající informační systémy nahradit novými. Požadavky na zajištění bezpečnosti osobních dat vyžadují nové, zatím běžně nepoužívané postupy zajištění přístupu - kryptování dat, logování přístupů, tvar hesel a pod.
Nařízení GDPR vyžaduje proaktivní a preventivní přístup k ochraně dat a nikoli reaktivní a nápravný.

Mění postavení subjektu údajů

GDPR nařízení mění pravidla předávání osobních údajů třetím stranám a zásadně zvýhodňuje postavení subjektu osobních údajů.
Nově je při předávání osobních dat mezi správcem a zpracovatelem vyžadováno uzavření smluvního ujednání.
Je vyžadována specifikace účelu zpracování, pro který budou osobní údaje shromažďovány, využívány a uchovávány, a to srozumitelným, svobodným a odvolatelným způsobem vůči subjektu údajů a vždy před zahájením jejich zpracování.
Subjekt osobních údajů má právo přístupu k údajům a právo na jejich přenositelnost. Také má právo vznášet námitky a má právo na omezení zpracování dat. Námitka proti přímému marketingu je přitom absolutní.

Zavádí nové sankce

Zavádí zejména povinnost evidence všech prováděných zpracování, bezpečnostních událostí a hlášení incidentů.
Sankce za nedodržení nařízení mohou být dle charakteru a závažnosti incidentu až 4% z celkového obratu společnosti nebo až 20 milionů EUR.
Sankce budou uplatňovány orgánem dohledu zejména v případě nehlášení incidentů a budou na principu rovnosti udělovány dle rozhodovací praxe v rámci EU jednotně.

Vytváří nové povinnosti a ruší povinnost registrace u ÚOOÚ

Vedle povinnosti evidence žádostí subjektů osobních údajů, povinnosti evidence zpracování a hlášení incidentů, zavádí nařízení GDPR také povinnost řídit rizika, zajišťovat jejich aktualizaci a povinnost zavést opatření k prokázání souladu s GDPR.
Nařízení nově vytváří pro vybrané organizace povinnost jmenovat Pověřence pro ochranu osobních údajů - DPO (Data Protection Officer). Některé organizace si vystačí s externím DPO, ale větší organizace musí vytvořit nové pracovní pozice pro DPO a jeho tým.
Přípravu na zavedení GDPR nařízení je proto dobré neodkládat.
___________
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)




Přiložené soubory


03.08.2017 (autor Redakce)





Související

Hlídač státu odhalil pochybení při ochraně osobních údajů žáků ZŠ

Hlídač státu odhalil pochybení při ochraně osobních údajů žáků ZŠ, kdy dle jeho zjištění Česká školní...

 vydáno 09.11.2018 
Téma: GDPR a IT systémy

Britský úřad udělil vysokou pokutu společnosti Facebook

Úřad britského komisaře pro informace (Information Commissioner´s Office - ICO) udělil Facebooku pokutu 500...

 vydáno 06.11.2018 
Téma: Zákony a GDPR

Vyjádření ÚOOÚ ke kopiím veřejných rejstříků na internetu

Úřad pro ochranu osobních údajů obdržel od účinnosti obecného nařízení vysoký počet stížností týkajících se...

 vydáno 31.10.2018 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, pokud jste soukromá organizace a nejste zřízeni obcí nebo jiným úřadem veřejné správy, pak se na Vás nevztahuje povinnost podle čl. 37...

Odpovídá Mgr. Martin Leskovjan
Ano, pokud se v rámci bytového domu vede oficiální evidence těchto stížností a průběhu jejich řešení, může jít o zpracování citlivých údajů, resp....

Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...



www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz