Nařízení GDPR bylo schváleno 27. 4. 2016 a vstoupí v platnost 25. 5. 2018. Nahradí tak zákon 101/2000 Sb. O ochraně osobních údajů a směrnici EU 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Za účelem konzistentnosti a jednotnosti pravidel ochrany osobních údajů bylo zvolena forma přímo účinného nařízení. To znamená, že členské státy nemusí transponovat normu do svých právních předpisů.
Deklarovaným cílem nařízení je co možná největší ochrana práv občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se dotkne všech společností, fyzických osob či jiných institucí, které zpracovávají data uživatelů. Je tedy třeba, aby všechny subjekty, kterých se toto nařízení dotkne, zrevidovaly své informační systémy a postupy s nakládání s osobními údaji.
Celé nařízení protíná zásadní důraz na odpovědnost správce za jeho dodržování a nabádá subjekty k přijetí vnitřních opatření, jimiž budou moci toto dodržování jakožto správci prokázat. Především je třeba přizpůsobit vnitřní mechanismy pro zpracovávání údajů tak, aby správce mohl poskytovat subjektům osobních údajů transparentní, snadno dostupné a srozumitelné informace. Vzhledem k této povinnosti je třeba očekávat zvýšenou administrativní zátěž, jelikož správce bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Nařízení také přináší řadu nových práv subjektům údajů. Primárně budou muset být subjekty o svých právech podrobně informovány. Novinkou je možnost dotčených subjektů vznést námitku proti zpracování svých osobních údajů. V praxi to znamená, že pokud nebude mít správce závažné a prokazatelné důvody pro zachování konkrétních údajů, nebude moci tyto údaje dále zpracovávat. Subjekt by měl dále mít kdykoli přístup k údajům, které jsou o něm shromažďovány. Subjekty údajů mají dále právo na přenositelnost údajů. To zakládá správci povinnost vydat subjektům kopii jejich zpracovávaných údajů ve strojově čitelném formátu, aby je tak subjekty mohly přenést do jiného systému k jejich dalšímu využití. Novinkou je tzv. „právo být zapomenut“. To umožňuje subjektům údajů žádat po správci, aby v případě, že již údaje pro účely, pro které byly shromažďovány, nejsou potřebné, osobní údaje vymazal a zdržel se tak jejich dalšímu uchovávání či šíření.
O všech činnostech zpracování je správce povinen vést záznamy. Tyto záznamy musí být správce kdykoli připraven předložit dozorovému orgánu.
GDPR nepřidává pouze nová práva a povinnosti ale také rozšiřuje definici osobních údajů. Nově sem výslovně spadají i technické parametry jako například e-mailová adresa nebo IP adresa.
Velmi důležitou součástí nařízení je oznamovací povinnost v případě narušení bezpečnosti údajů. Nově musí správce ohlásit únik dat příslušnému regulátorovi a to nejpozději do 72 hodin od okamžiku, kdy se o takové skutečnosti dozvěděl.
Strašák GDPR
29.4.2016
Nezařazené
No Comments
Jaroslav Tajbr
Nařízení GDPR bylo schváleno 27. 4. 2016 a vstoupí v platnost 25. 5. 2018. Nahradí tak zákon 101/2000 Sb. O ochraně osobních údajů a směrnici EU 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Za účelem konzistentnosti a jednotnosti pravidel ochrany osobních údajů bylo zvolena forma přímo účinného nařízení. To znamená, že členské státy nemusí transponovat normu do svých právních předpisů.
Deklarovaným cílem nařízení je co možná největší ochrana práv občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se dotkne všech společností, fyzických osob či jiných institucí, které zpracovávají data uživatelů. Je tedy třeba, aby všechny subjekty, kterých se toto nařízení dotkne, zrevidovaly své informační systémy a postupy s nakládání s osobními údaji.
Celé nařízení protíná zásadní důraz na odpovědnost správce za jeho dodržování a nabádá subjekty k přijetí vnitřních opatření, jimiž budou moci toto dodržování jakožto správci prokázat. Především je třeba přizpůsobit vnitřní mechanismy pro zpracovávání údajů tak, aby správce mohl poskytovat subjektům osobních údajů transparentní, snadno dostupné a srozumitelné informace. Vzhledem k této povinnosti je třeba očekávat zvýšenou administrativní zátěž, jelikož správce bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Nařízení také přináší řadu nových práv subjektům údajů. Primárně budou muset být subjekty o svých právech podrobně informovány. Novinkou je možnost dotčených subjektů vznést námitku proti zpracování svých osobních údajů. V praxi to znamená, že pokud nebude mít správce závažné a prokazatelné důvody pro zachování konkrétních údajů, nebude moci tyto údaje dále zpracovávat. Subjekt by měl dále mít kdykoli přístup k údajům, které jsou o něm shromažďovány. Subjekty údajů mají dále právo na přenositelnost údajů. To zakládá správci povinnost vydat subjektům kopii jejich zpracovávaných údajů ve strojově čitelném formátu, aby je tak subjekty mohly přenést do jiného systému k jejich dalšímu využití. Novinkou je tzv. „právo být zapomenut“. To umožňuje subjektům údajů žádat po správci, aby v případě, že již údaje pro účely, pro které byly shromažďovány, nejsou potřebné, osobní údaje vymazal a zdržel se tak jejich dalšímu uchovávání či šíření.
O všech činnostech zpracování je správce povinen vést záznamy. Tyto záznamy musí být správce kdykoli připraven předložit dozorovému orgánu.
GDPR nepřidává pouze nová práva a povinnosti ale také rozšiřuje definici osobních údajů. Nově sem výslovně spadají i technické parametry jako například e-mailová adresa nebo IP adresa.
Velmi důležitou součástí nařízení je oznamovací povinnost v případě narušení bezpečnosti údajů. Nově musí správce ohlásit únik dat příslušnému regulátorovi a to nejpozději do 72 hodin od okamžiku, kdy se o takové skutečnosti dozvěděl.