Co je GDPR?Nový evropský zákon o ochraně osobních údajů a zabezpečení údajů obsahuje nové požadavky na stovky stránek pro organizace po celém světě.Tento přehled GDPR vám pomůže porozumět zákonu a určit, které jeho části se na vás vztahují.

Obecné nařízení o ochraně osobních údajů (GDPR) je nejpřísnější zákon na ochranu soukromí a bezpečnosti na světě.Ačkoli byl navržen a schválen Evropskou unií (EU), ukládá organizacím povinnosti kdekoli, pokud se zaměřují na údaje týkající se lidí v EU nebo je shromažďují.Nařízení vstoupilo v platnost 25. května 2018. GDPR bude udělovat tvrdé pokuty těm, kdo poruší jeho standardy ochrany soukromí a bezpečnosti, se sankcemi sahajícími do desítek milionů eur.

S GDPR dává Evropa najevo svůj pevný postoj k ochraně soukromí a bezpečnosti dat v době, kdy stále více lidí svěřuje svá osobní data cloudovým službám a narušení je na denním pořádku.Samotné nařízení je rozsáhlé, dalekosáhlé a poměrně nenáročné na specifika, takže dodržování GDPR je skličující vyhlídkou, zejména pro malé a střední podniky (MSP).

Tuto webovou stránku jsme vytvořili, abychom vlastníkům a manažerům malých a středních podniků sloužili jako zdroj pro řešení konkrétních problémů, kterým mohou čelit.I když to nenahrazuje právní poradenství, může vám pomoci pochopit, kam zaměřit své úsilí o dodržování GDPR.Nabízíme také tipy na nástroje ochrany osobních údajů a na zmírnění rizik.Vzhledem k tomu, že GDPR je nadále vykládáno, budeme vás průběžně informovat o vyvíjejících se osvědčených postupech.

Pokud jste našli tuto stránku — 'co je GDPR?' — pravděpodobně hledáte rychlokurz.Možná jste ještě ani nenašli samotný dokument (tip: zde je celé nařízení).Možná nemáte čas to číst celé.Tato stránka je pro vás.V tomto článku se snažíme demystifikovat GDPR a doufáme, že je pro malé a střední podniky, které se zajímají o soulad s GDPR, méně zatěžující.

Historie GDPR
Právo na soukromí je součástí Evropské úmluvy o lidských právech z roku 1950, která říká: „Každý má právo na respektování svého soukromého a rodinného života, svého domova a své korespondence.“ Na tomto základě se Evropská unie snažila zajistit ochranu tohoto práva prostřednictvím právních předpisů.

Jak technologie pokročila a byl vynalezen internet, EU uznala potřebu moderní ochrany.V roce 1995 tedy schválila evropskou směrnici o ochraně údajů, která stanoví minimální standardy ochrany osobních údajů a zabezpečení, na nichž každý členský stát založil svůj vlastní prováděcí zákon.Ale už se internet proměňoval v data, kterými je Hoover dnes.V roce 1994 se na internetu objevila první bannerová reklama.V roce 2000 většina finančních institucí nabízela online bankovnictví.V roce 2006 se Facebook otevřel veřejnosti.V roce 2011 uživatel Googlu zažaloval společnost za skenování jejích e-mailů.Dva měsíce poté evropský úřad pro ochranu údajů prohlásil, že EU potřebuje „komplexní přístup k ochraně osobních údajů“ a začaly práce na aktualizaci směrnice z roku 1995.

GDPR vstoupilo v platnost v roce 2016 poté, co prošlo Evropským parlamentem, a od 25. května 2018 musely být všechny organizace v souladu.

Rozsah, sankce a klíčové definice
Za prvé, pokud zpracováváte osobní údaje občanů nebo rezidentů EU nebo těmto lidem nabízíte zboží či služby, pak se vás GDPR vztahuje, i když nejste v EU.Více o tom mluvíme v jiném článku.

Za druhé, pokuty za porušení GDPR jsou velmi vysoké.Existují dvě úrovně sankcí, které dosahují maximální výše 20 milionů EUR nebo 4 % celkových příjmů (podle toho, co je vyšší), plus subjekty údajů mají právo požadovat náhradu škody.Více se také bavíme o pokutách podle GDPR.

GDPR obsáhle definuje řadu právních pojmů.Níže jsou uvedeny některé z nejdůležitějších, na které odkazujeme v tomto článku:

Osobní údaje — Osobní údaje jsou jakékoli informace, které se týkají jednotlivce, kterého lze přímo nebo nepřímo identifikovat.Jména a e-mailové adresy jsou samozřejmě osobní údaje.Osobními údaji mohou být také informace o poloze, etnický původ, pohlaví, biometrické údaje, náboženské přesvědčení, webové soubory cookie a politické názory.Pseudonymní data mohou také spadat pod definici, pokud je relativně snadné z nich někoho identifikovat.

Zpracování dat — Jakákoli akce prováděná s daty, ať už automatizovaná nebo manuální.Příklady citované v textu zahrnují shromažďování, nahrávání, organizování, strukturování, ukládání, používání, mazání… takže v podstatě cokoli.

Subjekt údajů — Osoba, jejíž údaje jsou zpracovávány.To jsou vaši zákazníci nebo návštěvníci webu.

Správce údajů – Osoba, která rozhoduje o tom, proč a jak budou osobní údaje zpracovávány.Pokud jste vlastníkem nebo zaměstnancem ve vaší organizaci, který zpracovává data, jste to vy.

Zpracovatel údajů — Třetí strana, která zpracovává osobní údaje jménem správce údajů.GDPR má pro tyto jednotlivce a organizace zvláštní pravidla.Mohou zahrnovat cloudové servery jako Tresorit nebo poskytovatele e-mailových služeb, jako je Proton Mail.

Co říká GDPR o…
Ve zbytku tohoto článku si stručně vysvětlíme všechny klíčové regulační body GDPR.

Zásady ochrany dat
Pokud zpracováváte údaje, musíte tak učinit podle sedmi zásad ochrany a odpovědnosti uvedených v článku 5.1-2:

Zákonnost, spravedlnost a transparentnost – Zpracování musí být zákonné, spravedlivé a transparentní pro subjekt údajů.
Omezení účelu – Údaje musíte zpracovávat pro legitimní účely výslovně uvedené subjektu údajů, když jste je shromáždili.
Minimalizace dat – Měli byste shromažďovat a zpracovávat pouze tolik dat, kolik je nezbytně nutné pro uvedené účely.
Přesnost – Osobní údaje musíte udržovat přesné a aktuální.
Omezení úložiště – Osobní identifikační údaje můžete uchovávat pouze po dobu nezbytně nutnou pro daný účel.
Integrita a důvěrnost — Zpracování musí být provedeno takovým způsobem, aby byla zajištěna náležitá bezpečnost, integrita a důvěrnost (např. pomocí šifrování).
Odpovědnost – Správce údajů je odpovědný za to, že je schopen prokázat soulad GDPR se všemi těmito zásadami.