GDPR

Co je to GDPR?

  General Data Protection Regulation. Nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Reguluje zpracování osobních údajů fyzických osob. Do stávajících systémů ochrany osobních dat zavádí celou řadu nových povinností a zásadním způsobem zpřísňuje pravidla jejich správy.

 

Koho se GDPR týká?

  Nařízením GDPR se musí řídit všechny subjekty, které jsou správci a zpracovatelé osobních dat. Vymezení pojmu osobních dat je přitom poměrně široké a zahrnuje např. i technické údaje typu e-mailová adresa, IP adresa, cookies, aj.
  GDPR se tak dotýká velmi širokého okruhu jak komerčních subjektů, tak i orgánů státní správy nebo samosprávy nebo jimi zřizovaných organizací. Všech, kteří pracují s osobními údaji občanů EU. Stejně tak i samotných občanů EU, kteří se mohou nyní velmi účinně bránit proti neoprávněnému zacházení s jejich osobními daty.
GDPR se týká nás všech.

 

Jaké jsou pokuty při nedodržení nařízení?

 Až 20 milionů EUR.
Jedná-li se o podnik, až 4 % celkového ročního obratu celosvětově za předchozí finanční rok Z výše uvedených možností bude vždy vybrána ta, která znamená vyšší pokutu. Navíc hrozí riziko soukromoprávních žalob na náhradu majetkové či nemajetkové újmy.

 

Jaké jsou hlavní povinnosti vyplývající z GDPR?

  • Provádět analýzu rizik posouzení dopadu činnosti na ochranu osobních údajů
  • Spolupracovat s Úřadem pro ochranu osobních údajů (ÚOOÚ)
  • Vést záznamy o zpracováních osobních údajů
  • Včas detekovat, analyzovat a ohlašovat případy narušení bezpečnosti
  • Jmenovat pověřence ochrany osobních údajů – Data Protection Officer (DPO)
  • Zajistit práva fyzických osob (právo být zapomenut, právo na přenositelnost,
    právo přístupu).

V praxi to znamená provedení celé řady systémových změn uvnitř organizace.
Navíc pro mnoho komerčních subjektů, které jsou certifikovány podle mezinárodních standardů, například ISO 9001, ISO 27001, aj., to znamená provedení revize stávajících systémů řízení.

 

Kdo je odpovědný za splnění všech požadavků GDPR?


Nejvyšší vedení každé organizace. V případě selhání při zajištění shody s požadavky GDPR, hrozí tzv. „odpovědným osobám i trestněprávní odpovědnost dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 Sb.)

 Odpovědnou osobou jsou dle tohoto zákona:

  • statutární orgán nebo člen statutárního orgánu
  • ten, kdo vykonává rozhodující funkci na chod polečnosti
  • zaměstnanec nebo osoba ve vedoucím postavení