GDPR – General Data Protection Regulation je evropská regulační směrnice, která má za cíl chránit osobní údaje občanů EU. Cílem GDPR je poskytnout lidem v EU větší kontrolu nad jejich osobními údaji a zajistit, aby byly tyto údaje správně chráněny a řádně využívány.
GDPR byla přijata v roce 2016 a účinnost nabyla 25. května 2018. Od té doby platí v celé EU a je povinná pro všechny organizace, které zpracovávají osobní údaje osob v EU.
Směrnice GDPR se vztahuje na všechny organizace, které zpracovávají osobní údaje osob v EU, ať už jsou tyto organizace umístěny v EU nebo mimo ni. To znamená, že i organizace z jiných zemí, které zpracovávají osobní údaje osob v EU, jsou povinny dodržovat tyto pravidla. Těmto organizacím stanovuje řadu povinností, například povinnost informovat osoby, jejichž údaje se zpracovávají, o tom, jak jsou tyto údaje využívány, a také povinnost poskytnout těmto osobám přístup k jejich údajům a umožnit jim je měnit nebo mazat.
Dále stanovuje řadu práv pro osoby, jejichž údaje se zpracovávají. Jak jsme už zmiňovali, je to například právo na přístup k osobním údajům, právo na opravu nebo mazání osobních údajů, a také právo na omezení zpracování osobních údajů.
GDPR také stanovuje pravidla pro zpracování osobních údajů v rámci mezinárodních přenosů. Tato pravidla jsou navržena tak, aby zajistila ochranu osobních údajů při přenosu do zemí, kde nejsou stejná pravidla ochrany osobních údajů jako v EU.
Co všechno spadá do osobních údajů
Osobní údaje jsou podle GDPR veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby. Identifikovatelná fyzická osoba je osoba, kterou lze přímo nebo nepřímo identifikovat, zejména pomocí identifikátoru, jako je například jméno, identifikační číslo, data narození, IP adresa nebo další informace o osobě.
Do osobních údajů tedy spadá například:
- Jméno a příjmení,
- datum narození,
- adresa,
- telefonní číslo,
- e-mailová adresa,
- IP adresa,
- informace o bankovním účtu nebo o platebních kartách,
- informace o zdravotním stavu,
- vaše vzdělání,
- vaše zájmy
- rodinný stav.
Osobní údaje mohou být zpracovávány v různých formátech, například jako textové soubory, obrázky, zvukové soubory nebo videozáznamy. I takové informace, které se na první pohled mohou zdát nevinné nebo nevýznamné, mohou být osobními údaji, tedy pokud jsou spojené s konkrétní osobou a mohou být použity k její identifikaci.
Věděli jste, že…
…mezi osobní údaje patří váš hlas nebo otisk prstu?
Je zde tedy na místě, aby organizace, zpracovávající osobní údaje, pečlivě zvažovaly, které informace jsou nezbytné pro jejich účely zpracování a zda je nutné zpracovávat všechny osobní údaje, které získávají.
Pozor, GDPR neznamená konec zpracování osobních údajů, ale pouze jejich řádnou regulaci. V tomto se řada lidí mýlí. Organizace stále mohou zpracovávat osobní údaje, ale musí tak činit v souladu s pravidly GDPR a s ohledem na ochranu soukromí a osobních údajů osob, jejichž údaje zpracovávají.
NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Úplné znění GDPR
Souvislost GDPR s cookies
Některé z vás možná překvapí i tento fakt, ale ano, souvislost mezi cookies a GDPR existuje. Cookies jsou malé soubory, které jsou ukládány do počítače nebo jiného zařízení při navštívení webové stránky. Cookies mohou být použity k různým účelům, jako je ukládání nastavení, sledování návštěvnosti nebo personalizace obsahu.
Jak už jsme zmiňovali, GDPR se vztahuje na zpracování osobních údajů, včetně údajů získaných prostřednictvím cookies. To znamená, že pokud používáte cookies ke zpracování osobních údajů u osob v EU, musíte dodržovat pravidla GDPR.
Už víme, že jedním z hlavních požadavků GDPR je, aby organizace informovaly osoby o tom, jak jsou jejich údaje zpracovávány, a aby osoby daly svůj souhlas se zpracováním údajů. To znamená, že pokud používáte cookies ke zpracování osobních údajů osob v EU, musíte tyto osoby informovat o tom, jak jsou jejich údaje zpracovávány prostřednictvím cookies a získat od nich souhlas se zpracováním údajů prostřednictvím cookies.
Kontroly GDPR v České republice
V České republice je zodpovědným orgánem pro dohled nad dodržováním GDPR Úřad pro ochranu osobních údajů (ÚOOÚ). ÚOOÚ má kompetence provádět kontroly dodržování GDPR u organizací v České republice. V případě porušení GDPR může udělovat finanční nebo jiné sankce.
ÚOOÚ může například provádět kontroly na základě podnětu od osob, které se domnívají, že byla porušena jejich práva v souvislosti s ochranou osobních údajů nebo na základě vlastního vyhodnocení rizik pro ochranu osobních údajů. Úřad samozřejmě může provádět kontroly tzv. „na vlastní pokyn“.
Organizace v České republice tedy musí být připraveny na možnost kontrol GDPR ze strany ÚOOÚ. Ve vlastním zájmu by měla dodržovat pravidla ochrany osobních údajů stanovená GDPR, aby se vyhnuly finančním sankcím nebo jiným sankcím, které může ÚOOÚ udělovat v případě porušení.
Na závěr
GDPR představuje důležitý krok vpřed pro ochranu osobních údajů a soukromí občanů EU. Její implementace může vést ke zvýšení důvěry osob v zpracování jejich osobních údajů. Může přispět k vytvoření lepších podmínek pro využívání osobních údajů v rámci evropského trhu.