GDPR

Z K.A.P.

Přejít na: navigace, hledání

GDPR (General Data Protection Regulation)


GDPR - ochrana osobních údajů

  • Jde o nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Reguluje zpracování osobních údajů fyzických osob. Do stávajících systémů ochrany osobních dat zavádí celou řadu nových povinností a zásadním způsobem zpřísňuje pravidla jejich správy.

  • Nařízením GDPR se musí řídit všechny subjekty, které jsou správci a zpracovatelé osobních dat. Vymezení pojmu osobních dat je přitom poměrně široké a zahrnuje např. i technické údaje typu e-mailová adresa, IP adresa, cookies, aj.
    GDPR se tak dotýká velmi širokého okruhu jak komerčních subjektů, tak i orgánů státní správy nebo samosprávy nebo jimi zřizovaných organizací. Všech, kteří pracují s osobními údaji občanů EU. Stejně tak i samotných občanů EU, kteří se mohou nyní velmi účinně bránit proti neoprávněnému zacházení s jejich osobními daty.
    GDPR se týká nás všech.

  • Pokuty při nedodržení nařízení jsou ve výši až 20 milionů EUR. Jedná-li se o podnik, až 4 % celkového ročního obratu celosvětově za předchozí finanční rok (z výše uvedených možností bude vždy vybrána ta, která znamená vyšší pokutu). Navíc hrozí riziko soukromoprávních žalob na náhradu majetkové či nemajetkové újmy.

  • Nařízení GDPR je již platné od 24. května 2016. Účinné je od 25. května 2018.

  • Osobním údajem se dle § 4 písm. a) zákona č. 101/2000 Sb. rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

  • Za citlivý údaj je považován údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. Těmto údajům je přiznán zvýšený důraz na jejich ochranu při jejich zpracování dle zákona o ochraně osobních údajů.

GDPR - povinnosti v praxi

  • Povinnosti osob při zabezpečení osobních údajů:
    • Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
    • Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technickoorganizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

  • Povinnosti správců a zpracovatelů:
    • Provést posouzení vlivu na ochranu osobních údajů
    • Pověřenec pro ochranu osobních údajů (u velkých firem)
    • Zajistit odpovídající zabezpečení
    • Vést záznamy o činnostech zpracování
    • Povinnosti při předávání dalším správcům a využití zpracovatelů
    • Ohlašovat bezpečnostní incidenty

  • Zpracováním osobních údajů se myslí:
    • Jakákoliv operace nebo soubor operací s osobními údaji nebo se souborem osobních údajů
    • Shromažďování, ukládání, zaznamenání, uspořádání, použití
    • Zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
    • Úkony prováděné pomocí či bez pomoci automatizovaných postupů


Celá problematika je pochopitelně mnohem širší a existuje na toto téma množství materiálů a školení. Více informací najdete např. na https://www.gdpr.cz/ nebo https://www.uoou.cz/gdpr/ds-3938/p1=3938.
Většina informací o GDPR je ovšem pouze v obecné rovině a málokdy je informace konkretizována pro potřeby obchodních či výrobních firem. Většinou se pak například nedozvíte, jak přistupovat k firemním údajům, které jsou dostupné z veřejných zdrojů (např. přes ARES či ISIR) a okrajově se dotýkají osobních údajů (telefon, DIČ, jméno kontaktní osoby apod.).

Způsob implementace tohoto nařízení ve Vaší společnosti je pak ve Vašich rukou. Důležité je hlavně nemávnout nad GDPR rukou a neprovést žádné relevantní kroky. Doporučujeme opravdu provést posouzení vlivu na ochranu osobních údajů a na základě tohoto posouzení pak navrhnout kroky, kterými se pak budete v této věci řídit. Tyto dokumenty doporučujeme provést v písemné podobě, aby v případě kontroly bylo jasné, že jste danou problematiku nezanedbali a úplně ji neignorovali. Osobní informace budou určitě spravovány také v rámci evidence mezd nebo v dokumentech, které mohou být vytvořené např. ve Wordu či Excelu.


Další odkazy

  1. GDPR - v informačním systému MAXIM, další doporučení
  2. GDPR - Nastavení informačního systému MAXIM
  3. GDPR - Uživatelský popis
Osobní nástroje