Obecné nařízení

Obecné nařízení - GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679, kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.

Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Obecné nařízení o ochraně osobních údajů, na jehož přípravě se Česká republika podílela, má celoevropskou působnost a v ČR i v ostatních členských státech EU bude účinné od května 2018.

Co přináší Obecné nařízení (GDPR)?


Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Nové požadavky na zabezpečení

GDPR nařízení klade významné nároky na smluvní a technické zajištění ochrany a zpracování osobních údajů.
Vyžaduje změny všech smluvních ujednání obsahujících osobní údaje. Veškerá místa výskytu osobních údajů bude nutné doplnit o nové funkcionality a procesy pro zajištění bezpečnosti osobních údajů při jejich zpracování.
Organizace se tak nevyhnou zásadním změnám architektury informačních systémů. V mnohých případech bude nutné stávající informační systémy nahradit novými. Požadavky na zajištění bezpečnosti osobních dat vyžadují nové, zatím běžně nepoužívané postupy zajištění přístupu - kryptování dat, logování přístupů, tvar hesel a pod.
Nařízení GDPR vyžaduje proaktivní a preventivní přístup k ochraně dat a nikoli reaktivní a nápravný.

Mění postavení subjektu údajů

GDPR nařízení mění pravidla předávání osobních údajů třetím stranám a zásadně zvýhodňuje postavení subjektu osobních údajů.
Nově je při předávání osobních dat mezi správcem a zpracovatelem vyžadováno uzavření smluvního ujednání.
Je vyžadována specifikace účelu zpracování, pro který budou osobní údaje shromažďovány, využívány a uchovávány, a to srozumitelným, svobodným a odvolatelným způsobem vůči subjektu údajů a vždy před zahájením jejich zpracování.
Subjekt osobních údajů má právo přístupu k údajům a právo na jejich přenositelnost. Také má právo vznášet námitky a má právo na omezení zpracování dat. Námitka proti přímému marketingu je přitom absolutní.

Zavádí nové sankce

Zavádí zejména povinnost evidence všech prováděných zpracování, bezpečnostních událostí a hlášení incidentů.
Sankce za nedodržení nařízení mohou být dle charakteru a závažnosti incidentu až 4% z celkového obratu společnosti nebo až 20 milionů EUR.
Sankce budou uplatňovány orgánem dohledu zejména v případě nehlášení incidentů a budou na principu rovnosti udělovány dle rozhodovací praxe v rámci EU jednotně.

Vytváří nové povinnosti a ruší povinnost registrace u ÚOOÚ

Vedle povinnosti evidence žádostí subjektů osobních údajů, povinnosti evidence zpracování a hlášení incidentů, zavádí nařízení GDPR také povinnost řídit rizika, zajišťovat jejich aktualizaci a povinnost zavést opatření k prokázání souladu s GDPR.
Nařízení nově vytváří pro vybrané organizace povinnost jmenovat Pověřence pro ochranu osobních údajů - DPO (Data Protection Officer). Některé organizace si vystačí s externím DPO, ale větší organizace musí vytvořit nové pracovní pozice pro DPO a jeho tým.
Přípravu na zavedení GDPR nařízení je proto dobré neodkládat.
___________
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)




Přiložené soubory


03.08.2017 (autor Redakce)





Související

Předem zaškrtnuté políčko ve webovém formuláři není platným projevem vůle uživatelů

Soudní dvůr EU (SDEU) rozhodl dne 1. října 2019 ve věci C-673/17 na základě žádosti Spolkového soudního...

 vydáno 04.10.2019 
Téma: Zákony a GDPR

Poznatky ÚOOÚ z ohlašování porušení zabezpečení osobních údajů

Úřad pro ochranu osobních údajů zveřejnil své poznatky z ohlašování porušení zabezpečení osobních údajů....

 vydáno 03.10.2019 
Téma: Systém GDPR

Obecné nařízení o ochraně osobních údajů pro orgány EU: Vaše práva v digitálním věku

Obecné nařízení o ochraně osobních údajů (GDPR) se vztahuje na všechny podniky a organizace, které působí v...

 vydáno 09.09.2019 
Téma: Vzdělávání



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, pokud jste soukromá organizace a nejste zřízeni obcí nebo jiným úřadem veřejné správy, pak se na Vás nevztahuje povinnost podle čl. 37...

Odpovídá Mgr. Martin Leskovjan
Ano, pokud se v rámci bytového domu vede oficiální evidence těchto stížností a průběhu jejich řešení, může jít o zpracování citlivých údajů, resp....

Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...



www.helpgdpr.cz
© Copyright 2000 - 2019, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz