Nové nařízení GDPR vystraší i vašeho šéfa. Podívejte se, co „upekli“ v Bruselu

Koho se nařízení GDPR týká?

GDPR se dotkne každého, kdo při své práci shromažďuje nebo zpracovává osobní údaje občanů Evropské unie. Týká se všech firem, státních institucí, neziskových organizací i osob samostatně výdělečně činných (OSVČ), které evidují své zaměstnance, členy, zákazníky nebo příznivce.

Nařízení GDPR platí i pro e-shopy. Týká se i společností a institucí mimo území EU, které působí na evropském trhu. Toto nařízení EU má sjednotit právní ochranu osobních údajů ve všech členských státech.

Co je podle GDPR osobním údajem?

Podle GDPR se pojem osobní údaj rozšiřuje oproti tomu, co bylo za osobní údaj považováno dřív. Pokud je organizace, firma či státní správa schopná informace o majetkových či zdravotních poměrech nebo o politických názorech propojit s konkrétním člověkem či jménem, jde o osobní údaj.

Obecné nařízení EU GDPR věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Nová směrnice se nás dotkne víc než EET, co se změní? Odpovídala Věra Jourová

GDPR v praxi: Jak řešit únik osobních dat?

V rámci GDPR platí oznamovací povinnost v případě narušení bezpečnostních opatření. Už by se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se to stalo v minulosti třeba v případě společnosti Yahoo.

Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat nejpozději do 72 hodin od okamžiku, kdy se o něm dověděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Jourová: Česko nestihne zákon o ochraně dat, který by zmírnil drsné nařízení EU

Jaké jsou sankce za porušení povinnosti?

GDPR zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20 milionů eur (cca 540 milionů korun) nebo čtyři procenta z celkového ročního obratu společnosti. Uplatněna bude vyšší z uvedených sankcí.

GDPR bere v potaz řadu faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, reakce zpracovatele či druh osobních údajů dotčené porušením a řada dalších.

Kromě závratně vysokých pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy.

Čtěte více o GDPR:

Nařízení EU o údajích lidí zasáhne i Čechy. Co je GDPR a proč má Babišova vláda problém?

„U lékařů nic nového nepodepisujte.“ Expert varuje pacienty kvůli GDPR

„Zamkněte vše do skříně.“ Postrach větší než EET řeší věrnostní karty i pejskaře

„Nesmyslné, extrémně komplikované.“ Poslanci strhali zákon o GDPR, který se nestíhá

Jourová mluvila s ředitelkou Facebooku: „Dodržování pravidel GDPR si pohlídáme“

Evropská unie - aktuální zpravodajství z Bruselu najdete na Blesk.cz zde >

Více o nařízení EU GDPR najdete na Blesk.cz zde >