reklama

GDPR startuje v pátek. Přehled práv a povinností, které nařízení přináší

GDPR v kostce

Obecné nařízení o ochraně osobních údajů neboli GDPR startuje už v pátek. EU jím chce zvýšit ochranu soukromí lidí a firmám i úřadům zamezit zneužívání osobních dat. Ovlivní všechny občany, firmy, úřady či školy. Jaká práva a povinnosti přináší?

Koho se GDPR týká

Dává práva občanům EU i lidem, kteří se na území unie pohybují.

Přináší povinnosti všem firmám, státním, obecním či krajským úřadům, nemocnicím, školám či neziskovým organizacím. Týká se i neevropských podniků, které na Evropany cílí své nabídky.

GDPR platí ve všech zemích EU včetně Velké Británie. Drobné odchylky pravidel může stanovit národní zákon. V Česku dosud nebyl schválen.

Osobní údaje

Chrání se papírová i digitální data.

Chráněno je jméno, příjmení, rodné číslo, ale také třeba IP adresa. Sexuální orientace nebo zdravotní dokumentace jsou zvláště citlivé údaje, které mají být více chráněny.

Zabezpečení dat

Opatření odpovídá finančním možnostem podniku. GDPR nepředepisuje žádnou konkrétní technologii.

U citlivých osobních údajů se doporučuje jejich šifrování nebo pseudonymizace (z dat není patrná identita člověka).

Jaké jsou náklady

Pro menší podniky nařízení znamená náklady v jednotkách až desítkách tisíc korun.

Pro velké korporace (banky, operátoři) nařízení znamená náklady až desítky milionů.

Kdo na GDPR dohlíží

Úřad pro ochranu osobních údajů

je státní úřad, který na dodržování GDPR v Česku dohlíží a který za jeho porušení uděluje pokuty.

Pověřenec pro ochranu osobních údajů

Dohlíží na dodržování pravidel GDPR, jedná s úřadem ÚOOÚ.

Větší firmy, státní a obecní úřady mají pověřence povinně.

Menší podniky, živnostníci nebo praktičtí lékaři pověřence mít nemusí.

I malá firma, která ovšem zpracovává velké množství dat (např. výrobce mobilních aplikací), pověřence zřídit musí.

Podniky mohou najmout i externí pověřence. Jeden pověřenec může pracovat pro více organizací.

Zákaz střetu zájmů – pověřenec nesmí být členem vedení firmy, šéfem HR nebo IT oddělení.

Co získávám jako občan

Přehled o tom, jaké údaje o mně firmy a úřady sbírají a co s nimi dělají.

Mohu požadovat smazání svých dat z různých databází nebo žádat jen omezené zpracování údajů.

Nemusím udělit souhlas se zpracováním údajů při nákupu na e-shopu.

Co musím dodržet jako firma

Mám přehled, kde všude mám osobní údaje uložené.

Data dostatečně chráním proti zneužití.

Nevyužívám osobní data, která využívat nesmím (data, která se netýkají výkonu podnikání či nemám souhlas s jejich zpracováním).

Nesmím osobní údaje předat třetí straně, pokud to člověk neschválí.

Klientům, zaměstnancům a obchodním partnerům dávám na vyžádání informace o osobních údajích, které o nich sbírám.

GDPR v různých odvětvích

Škola

Bez souhlasu rodičů dětí do 16 let nemohou školy zveřejňovat jejich fotografie.

Rodiče získávají více informací o tom, jak škola nakládá se záznamy z bezpečnostních kamer.

Věkovou hranici pro souhlasy ještě upraví český zákon.

Nemocnice

Pacient může nahlížet do své zdravotnické dokumentace. Může si ověřit, jaká data o něm lékař či nemocnice uchovává.

Pro zasílání informací o zdravotním stavu třeba e-mailem musí lékař získat souhlas pacienta.

E-shop

Nákup nesmí být podmíněn souhlasem se zpracováním údajů klienta.

Zákazník musí přesně vědět, na co obchod jeho data využije. Musí se to dozvědět z textu souhlasu.

Reklamní nabídky lze bez souhlasu zasílat jen stávajícím zákazníkům a musí se týkat jen okruhu zboží, které nakoupili.

Klient má i nadále právo odhlásit si v e-mailu odebírání newsletteru.

Banka

Finanční instituce jsou povinny vytvořit registr účelů zpracovávání osobních údajů. Ke každému účelu musí mít od klienta výslovný souhlas.

Banky nesmí podmiňovat poskytování služeb klientovi udělením souhlasu, jak tomu bylo doposud.

Zaměstnavatel

Zaměstnanec má právo vědět, jaké údaje o něm shromažďujete.

U využití některých osobních údajů se vyžaduje souhlas (např. fotka na vstupní kartu do podniku).

Firma souhlas zaměstnance nepotřebuje, pokud plní své zákonné povinnosti (např. vedení mzdových listů).

Zaměstnanec má právo vyžadovat jen omezené zpracování údajů a žádat jejich výmaz po ukončení pracovního poměru.

20 milionů eur

Maximální možná sankce za porušení pravidel GDPR je 20 milionů eur, nebo čtyři procenta z globálního obratu firmy – podle toho, která suma je vyšší. Takovou pokutu ale dostanou jen nadnárodní podniky, kterým unikne velké množství osobních údajů ve více členských zemích. V Česku se očekávají pokuty v řádu jednotek až desítek milionů korun.

72 hodin

Lhůta, v níž musí organizace státu nahlásit únik dat je 72 hodin od odhalení. V některých případech je třeba o věci informovat i poškozené. Zatajování případu se bere jako přitěžující okolnost.

reklama