FAQ
Často kladené otázky týkající se GDPR

Kdy vchází GDPR v účinnost?

Nařízení EU 2016/679 GDPR bylo schváleno a Parlamentem EU přijato v dubnu 2016. Toto nařízení vstoupí v platnost po uplynutí dvouletého přechodného období a již nevyžaduje žádné další legislativní schválení vládou ČR. To znamená, že bude v platnosti od 25. května 2018. 

Viz Kdy vchází GDPR v platnost?

Na koho se GDPR vztahuje?

GDPR platí nejen pro subjekty se sídlem v EU, ale bude platit také pro organizace se sídlem mimo EU v případě, že nabízejí zboží nebo služby, nebo sledují chování subjektů údajů v EU. Vztahuje na všechny společnosti zpracovávající a skladující osobní údaje subjektů údajů s bydlištěm v Evropské unii, bez ohledu na umístění společnosti. 

Co dělat když dojde k porušení zabezpečení OÚ?

Jakékoli porušení zabezpečení osobních údajů ohlásí správce bez zbytečného odkladu do 72 hodin (od okamžiku, kdy se o něm dozvěděl) dozorovému úřadu - tedy Úřadu na Ochranu Osobních Údajů.

Jaké jsou sankce za nedodržení GDPR? 

Organizaci může být za porušení GDPR uložena pokuta prostřednictvím dozorového úřadu (ÚOOÚ) až do výše 4% ročního celosvětového obratu nebo 20 milionů € podle toho, která hodnota je vyšší. To je maximální pokuta, která může být uložena za nejzávažnější porušení, jako například:

  • zpracování osobních údajů nemá zákonný důvod
  • správce (organizace) nemá dostatečný souhlas od zákazníka zpracovávat jeho data nebo
  • není schopen tento souhlas doložit
  • organizace neposkytla zákazníkovi stručným a srozumitelným způsobem informace o způsobu nakládání s jeho daty
  • předala osobní údaje příjemci ve třetí zemi mimo EU
  • a celá řada dalších důvodů ... , tedy že organizace porušila podstatu konceptu ochrany osobních údajů dle GDPR. 

Pokuty se budou udělovat stupňovitě, např. společnosti může být udělena pokuta ve výši 2% z ročního obratu za to, že její záznamy nejsou v pořádku, neoznámí dohlížejícímu orgánu a subjektu údajů porušení pravidel při nakládání s osobními údaji, nebo nevykonává posouzení dopadů. Je důležité si rovněž uvědomit, že tato pravidla platí pro jak pro správce, tak i pro zpracovatele. Pojem "cloud" NEBUDE osvobozený od vymáhání GDPR.

Viz Jaké hrozí sankce za neoprávněné nakládání s osobními údaji? 

Co představuje pojem osobní údaj? 

Osobní údaj může být cokoliv co se vztahuje na subjekt údajů (zákazníka) - jméno, fotografie, e-mailové adresy, bankovní údaje, příspěvky na sociálních sítích, lékařské informace nebo IP adresy počítače, biometrické údaje, ... . 

Viz Osobní údaje a zpracování osobních údajů; Definice pojmů 

Jaký je rozdíl mezi zpracovatelem a správcem dat?

Správce dat je subjekt, který určuje účel, způsob, podmínky a prostředky zpracování osobních údajů, zatímco zpracovatelem je subjekt, který zpracovává osobní údaje jménem správce.

Viz Správce, zpracovatel a subjekt údajů; Definice pojmů

Jak je to s osobními údaji dětí?

Pro on-line služby bude vyžadován souhlas rodičů ke zpracovávání osobních údajů dětí mladších 16 let. Jednotlivé členské státy EU mohou přijmout zákony pro nižší věk souhlasu, ale ne mladší 13 let.

Zpracovatelé údajů vyžadují "výslovný" nebo "jednoznačný" souhlas. Jaký je mezi nimi rozdíl?

V GDPR byly posíleny podmínky pro udělení souhlasu, jelikož společnosti již nebudou moci využívat dlouhé nečitelné podmínky, které jsou plné zákonností. 

JEDNOZNAČNÝ SOUHLAS musí být jasný a odlišitelný od ostatních záležitostí, musí být poskytnut ve srozumitelné a snadno přístupné podobě, pomocí jasného a srozumitelného jazyka za účelem zpracování dat připojeným k tomuto souhlasu. Pro zpracování osobních údajů je jednoznačný souhlas dostačující.

VÝSLOVNÝ SOUHLAS je vyžadován pro zpracování zvláštních kategorií osobních údajů - v tomto kontextu nebude postačovat nic jiného než písemný souhlas nebo princip "Přihlásit se". 

Souhlas je TĚŽKÉ ZÍSKAT, ale SNADNÉ ODVOLAT!

Musí mít naše společnost Pověřence pro Ochranu Osobních Údajů?

Povinnost zřídit roli Pověřence pro Ochranu Osobních Údajů (Data Protection Officer - DPO) se týká: 

  • orgánů veřejné moci (např.: obce, školy, netýká se soudů)
  • pokud činnosti správce zahrnují systematické, rozsáhlé a pravidelné monitorování subjektů, (např.: poskytovatelé úvěrů, pojišťění, energetických, tel., datových služeb, cestovní kanceláře, personální, reklamní agentury, eShopy, dopravní podniky, nemocnice,  (...)
  • či zpracovávají zvláštní kategorie osobních údajů 

Pokud vaše organizace nespadá do jedné z těchto kategorií, nemusíte Pověřence pro Ochranu Osobních údajů jmenovat.

Jaký je rozdíl mezi nařízením EU a směrnicí EU? 

Nařízení je závazný legislativní akt, který musí být uplatňen v celém rozsahu a v celé EU. Zatímco směrnice je legislativním aktem, který stanoví cíl, kterého musí dosáhnout všechny země EU, avšak je na jednotlivých zemích, aby rozhodly jak. Je důležité poznamenat, že GDPR je nařízení, na rozdíl od předchozí legislativy, která je směrnicí.