CO JE GDPR?
Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (angl. General Data Protection Regulation neboli GDPR), což je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů. Toto nařízení je přímo aplikovatelné ve všech zemích EU. Nařízení vzniklo jako reakce na rychlý technologický rozvoj a globalizaci, díky čemuž je nutné více chránit osobní údaje.
Na koho se vztahuje?
GDPR dopadne na všechny případy zpracování osobních údajů občanů EU a pohybů osobních údajů v rámci EU a to, kdy: Správce, nebo zpracovatel sídlí v zemích EU, ale i kdy správce, nebo zpracovatel nesídlí v zemích EU, ale zpracovává data občanů EU za účelem nabídky zboží, služeb anebo za účelem monitoringu jejich chování. GDPR se vztahuje na všechny formy zpracování.
GDPR dopadne na všechny společnosti a veřejné instituce bez ohledu na segment podnikání nebo předmět činnosti a bez ohledu na jejich velikost a počet zaměstnanců. Týká se tedy firem, institucí, spolků, živnostníků, poskytovatelům online služeb, ale též zástupců veřejné správy.
Co mi hrozí?
GDPR zavádí astronomické pokuty za porušování velmi přísnějších pravidel. Jedná se o celosvětově nejpřísnější nařízení o ochraně osobních údajů. Za nesplnění požadavků GDPR hrozí pokuty až €20 milionů (520 milionů Kč) nebo 4 % z celosvětového obratu daného subjektu (podle toho, která hodnota je vyšší).
A co GDPR vlastně přináší?
Dopad na všechny
Každá organizace musí důsledně chránit veškerá osobní data. I vy musíte chránit osobní údaje zaměstnanců, informace o zákaznících, potencionálních klientech nebo databáze pacientů, žáků...
Funkční zabezpečení dat
Vaše společnost musí být schopna prokázat, že technická a organizační opatření k ochraně dat jsou funkční.
Povinné hlášení úniků dat
Bezodkladně, do 72 hodin od zjištění, musíte Úřadu pro ochranu osobních údajů nahlásit incident. Průměrně trvá firmám 69 dní, než vůbec zjistí, že nastal problém.
Souhlas se zpracováním údajů
Je vyžadován svobodný, informovaný a jednoznačný souhlas. Žádost o souhlas musíte formulovat srozumitelně a jednoduše.
Rozšíření definice „osobní údaj“
Osobní údaje jsou také emailové adresy, IP adresy, cookies anebo genetické a biometrické údaje.
Právo být zapomenut
Každý občan může žádat, abyste bez zbytečného odkladu vymazali jeho osobní údaje. Zcela, ze všech databází, kontaktů, komunikace atp. Každý také musí mít právo a možnost odvolat svůj souhlas se zpracováním svých osobních údajů.
Osoba pro ochranu osobních údajů
Organizace, které systematicky zpracovávají osobní údaje, musí mít určenu roli inspektora ochrany údajů.
Privacy by design
Ochranu osobních dat musíte zohlednit již ve fázi návrhu bezpečnostních opatření.