GDPR srozumitelně a hezky česky 2018


GDPR srozumitelně a hezky česky

Prošli jsme článek po článku celé Obecné nařízení pro ochranu osobních údajů (anglická zkratka GDPR) a velice stručně jsme shrnuli obsah každého z nich. Celý text jsme popsali co nejvíce jednoduše a lidsky.

Po přečtení „GDPR hezky česky” byste měli mít přehled o tom, kterou část Nařízení ještě nemáte úplně zmáknutou a co je ještě do 25. května 2018 potřeba stihnout.

Budete vědět, jaké interní předpisy a postupy je ještě potřeba stanovit, abyste byli připraveni na dotazy svých zákazníků, nájezdy hackerů a návštěvu kontroly z Úřadu pro ochranu osobních údajů.

Článků je 99 a proto má i tento příspěvek 99 bodů. Ale nezoufejte hned na začátku, ne každý z bodů se Vás týká. Hlavně v druhé polovině budete poměrně často přeskakovat. Navíc jsme udělali užitečnou barevnou pomůcku.

Týká se všech Týká se jen někoho Jen pro info

Když si prolistujete Nařízení, zjistíte, že se skládá ze dvou částí. V první části jsou tzv. recitály (R1-R173), které podrobněji vysvětlují a rozvádějí samotné články Nařízení. Pro snadnou orientaci jsme k názvu článku přidali odpovídající číslo recitálu.

Ti, kdo raději listují úplnými zněními zákonů a milují paragrafy a všechnu tu omáčku okolo, ať se raději začtou přímo do úplného znění Nařízení, které má „jenom“ 88 stránek. Tady je odkaz.

Pokud vám po přečtení nějakého článku není vše jasné, tak si jednoduše přečtěte danou části v originálním znění nařízení nebo zmíněném recitálu.

Slovníček pojmů

Začneme 8 nejčastějšími pojmy, bez kterých se Nařízením neprokoušete. Jestli si chcete obohatit slovní zásobu a znát všechny, tak v originále Nařízení  v článku č. 4 je celkem 26 pojmů.

Osobní údaje

Osobními údaji jsou veškeré informace o konkrétní fyzické osobě, podle kterých ji můžete identifikovat buď přímo, anebo pokud máte takové údaje dva a na základě těchto dvou údajů ji dokážete identifikovat.

Příklad: Jméno, e-mailová adresa, telefonní číslo, rodné číslo, IP adresa, ale i zvláštní kategorie osobních údajů například otisky prstů, národnost, rasový původ, zdravotní stav ad.

Správce

Správcem je fyzická nebo právnická osoba, který sám nebo společně s jinými zpracovává osobní údaje.

Příklad: Správcem je každý, kdo má ve firmě zaměstnance, má databázi zákazníků, eviduje zájemce o své služby, má e-mailovou databázi nebo jinou evidenci. Nezáleží na počtu těchto zpracovávaných údajů.

Zpracovatel

Zpracovatelem je fyzická nebo právnická osoba, která zpracovává osobní údaje pro správce.

Příklad: Správce používá ke komunikaci mailingový systém a jeho dodavatel je Zpracovatelem. Pokud máte osobní údaje uloženy na Google Disku, jejich Zpracovatelem je Google. Pokud používáte jiné cloudové služby (Gmail, Seznam Mail, Dropbox, Evernote apod.) jsou vždy Zpracovatelem.

Mezi Správcem a každým Zpracovatelem musí být uzavřena smlouva, byť jen elektronická.

Zpracování

Zpracováním se rozumí jakákoliv operace s osobními údaji, která je prováděna buď automaticky nebo ručně. Mezi tyto operace patří shromažďování, ukládání do databáze, uspořádání, strukturování, mailování, úpravy, vyhledávání nebo šíření. Zkrátka veškeré operace, které s kontaktem souvisí – od jeho získání až po výmaz.

Příklad: Zájemce přijde na webovou stránku, kde máte formulář s brožurou. Zadá svůj e-mail a ten se uloží do databáze. A tím začíná jeho zpracování. Pak se na vás třeba po čase obrátí s dotazem, jaké jeho osobní údaje zpracováváte. A vy jeho kontakt vyhledáte, vyexportujete patřičná data a ty mu pošlete. To vše jsou zpracovatelské operace.

Profilování

Profilováním je jakákoliv forma automatického zpracování osobních údajů, na základě které je možné hodnotit některé skutečnosti o preferencích a chování dotyčného člověka.

Příklad: Když přijde člověk na webové stránky e-shopu, a ten ukládá veškeré informace o tom, na kterých stránkách se člověk pohyboval, jak dlouho, jestli nakonec udělal objednávku nebo ne, a další informace, které vyplynou z jeho chování na webových stránkách a podle toho upravuje nabídku.

Pseudonymizace

Pseudonymizací se rozumí situace, kdy jsou osobní údaje zpracovávány tak, že není možné je přiřadit ke konkrétnímu člověku bez dodatečných informací, které jsou ale zpracovávány odděleně.

Příklad: Osobní údaje zákazníků zašifrována pomocí speciálního klíče a tento klíč je uchováván odděleně. A bez klíče není možné převést šifrovaná data do normální podoby. Pokud by někdo ukradl osobní údaje, nepřečte je, když k nim nemá klíč.

Třetí strana

Třetí stranou je fyzická nebo právnická osoba, která není Správcem ani Zpracovatelem, ale je oprávněna osobní údaje zpracovávat.

Příklad: Obchodní partner, se kterým si vzájemně sdílíte své databáze kontaktů.

Dozorový úřad

Dozorový úřad je nezávislý orgán, který má pravomoc kontrolovat dodržování Nařízení v daném členském státě EU. Je možné se na něj obrátit v případě dotazů týkajících se Nařízení. Občané ale i Správci nebo Zpracovatelé u něj mohou podávat stížnosti, ad.

Dozorovým úřadem pro Českou republiku je Úřad na ochranu osobních údajů www.uoou.cz.

Kapitola I. - Základní informace k GDPR

Článek 1 - Co je GDPR a na koho se vztahuje (R13)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení má za cíl chránit osobní údaje občanů EU. Proto pokud jakýmkoliv způsobem zpracováváte osobní údaje fyzických osob EU, toto Nařízení se na vás vztahuje a jste povinni se jím řídit.

Pokud působíte v EU a zpracováváte osobní údaje občanů EU, seznamte se s tímto Nařízením.

Pokud vaše společnost nesídlí v EU, nebo zpracování osobních údajů neprobíhá na území EU, ale zpracováváte osobní údaje fyzických osob EU, Nařízení se na vás vztahuje také.

A to bez ohledu na to, kolik máte zaměstnanců, jak velkou máte databázi kontaktů a jaké osobní údaje zpracováváte.

Článek 2 - Na jaké osobní údaje se GDPR vztahuje (R14-21, R24, R27)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení se vztahuje na veškeré osobní údaje fyzických osob, které mají správci osobních údajů ve svých databázích, evidencích.

Nařízení se nevztahuje na zpracování osobních údajů, které si fyzická osoba vede pro své potřeby (například vlastní adresář kontaktů na rodinu a přátele), nebo využívání sociálních sítí. To ale pouze za předpokladu, že to zpracování nemá souvislost s profesní nebo obchodní činností.

Je potřeba zjistit, jaká úložiště dat ve své firmě používáte – oblast marketingu, personální, zákaznický servis a dalších.

Sepište všechna úložiště, kde se nacházejí osobní data zájemců, zákazníků a zaměstnanců.

Článek 3 - Na které státy se GDPR vztahuje (R22-R25)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nezáleží na tom, zda zpracování osobních údajů probíhá na území Evropské unie nebo mimo ni. Pokud se jedná o osobní údaje občanů EU, GDPR se na ně vztahuje.

Zjistěte, kde jsou uloženy databáze zájemců, zákazníků a zaměstnanců, a prověřte, jestli jsou připravena na GDPR (datová centra, interní servery, Dropbox, Google Disk).

Pokud pro uložení dat využíváte služeb datových center mimo Českou republiku, zjistěte si, ve kterých zemích jsou data fyzicky uložena.

Článek 4 - Co znamenají pojmy používané v Nařízení (R26, R28, R30, R32, R38, R42, R43)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení využívá řadu pojmů, se kterými je potřeba se seznámit. Mimo jiné také rozšiřuje, co všechno je označeno jako osobní údaj.

Seznamte se se všemi pojmy, které jsou v oblasti ochrany osobních údajů používány – všech 26 pojmů najdete přímo v Nařízení.

Zjistěte všechny partnery a subjekty, které mají přístup k osobním údajům, které zpracováváte (hostingové společnosti, účetní program, CRM systém, marketingové nástroje, datová úložiště) a vytvořte si přehledný seznam.

Vytvořte také seznam všech třetích stran, kterým předáváte osobní údaje například pro marketingové účely.

Kapitola II.  - Zásady zpracování osobních údajů

Článek 5 - Jak osobní údaje zpracovávat (R39, R50, R58, R60)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Osobní údaje musíte zpracovávat podle následujících zásad:

  • musí být přesné a aktuální
  • zpracování musí probíhat zákonným a transparentním způsobem
  • musíte znát konkrétní účel zpracování
  • zpracovávat osobní údaje můžete pouze v nezbytné míře a po nezbytně nutnou dobu
  • osobní údaje musí být zabezpečeny

U všech osobních údajů, které máte ve svých databázích, prověřte:

  • kde jste je získali
  • kde jsou uloženy
  • pokud pro jejich zpracování potřebujete souhlas, zjistěte, jestli jste ho získali v souladu s Nařízením. Pokud ne, vyžádejte si ho.
  • připravte plán odstranění zastaralých údajů
  • připravte plán odstranění nepotřebných údajů
  • připravte opatření k průběžnému odstranění nepotřebných dat

Článek 6 - Jaký máte právní důvod zpracování osobních údajů (R40, R44-R47)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení definuje 6 základních právních důvodů, na základě, kterých můžete osobní údaje zpracovávat, aby zpracování bylo zákonné.

  1. souhlas
  2. plnění smlouvy
  3. zpracování nařizuje jiný právní předpis
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů občanů
  5. veřejný zájem
  6. oprávněný zájem správce

Zrevidujte u všech svých kontaktů, na základě kterého právního důvodu osobní údaje zpracováváte.

Zároveň si u všech svých služeb nebo dalších aktivit (přihlášení k odběru newsletteru, e-booky na stránkách, přihláška na webinář ad.) stanovte, na základě jakého právního důvodu v tom daném případě osobní údaje zpracováváte.

Jako správce musíte občany informovat o tom, na základě kterého právního titulu jejich osobní údaje zpracováváte.

Článek 7 - Podmínky vyjádření souhlasu se zpracováním osobních údajů (R42, R43)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Musíte být schopni prokázat, že jste souhlas se zpracováním osobních údajů od občanů získal.

Souhlas nesmí být součástí například obchodních podmínek. Musí být oddělen od ostatních ujednání.

Informace ohledně souhlasu musí být sepsány jednoduchým jazykem, aby byly srozumitelné pro každého.

Osobní údaje není možné využívat k jinému účelu, než k jakému jste je získali.

Aktualizujte všechny formuláře, přes které získáváte souhlas se zpracováním. Místo jednoduchých používejte dvoukrokové tzv. double opt-in (Co je double opt-in).

Stejně tak zrevidujte informace pro zákazníky o zpracování osobních údajů. Aby byly napsány srozumitelně a jednoduchým jazykem.

Připravte interní směrnice ohledně souhlasu se zpracováním osobních údajů.

Buďte připraveni prokázat, že jste souhlas získali – Nařízení nestanovuje přesnou formu. Stačí odpovědět na otázku „Tento kontakt dal, jaký souhlas, kde a kdy?“.

Článek 8 - Souhlas se zpracováním osobních údajů dětí (R38)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Souhlas se zpracováním osobních údajů mohou dát pouze lidé starší 16 let. (Tato věková hranice bude nejspíš českým prováděcím zákonem upravena na 15 let.)

U mladších bude vyžadován souhlas jejich zákonného zástupce.

Je potřeba upravit formuláře tak, aby bylo možné souhlas zákonného zástupce udělit.

Pokud cílíte na mladší, používejte filtry, které neumožní dětem přístup, dokud nebudete mít souhlas jejich zákonného zástupce.

Článek 9 - Zpracování zvláštních kategorií osobních údajů (R51-R54)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Jestli to není nutné (z titulu vaší činnosti nebo na základě jiného právního předpisu), nezpracovávejte citlivé osobní údaje. Sem patří např. rasové, politické, náboženské, zdravotní a další.

Jejich zpracování je podrobeno přísnějším podmínkám.

Zrevidujte současné databáze, zda neobsahují zvláštní kategorie osobních údajů, případně by mohly být ze zpracovávaných osobních dat vyvoditelné.

Pokud je pro svoji činnost nepotřebujete, odstraňte je.

Článek 10 - Zpracování údajů týkajících se trestních řízení

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Zpracovávat osobní údaje, které se týkají rozsudků v trestních věcech, je možné pouze pod dozorem orgánů veřejné moci.

Pokud zpracováváte takové osobní údaje, musíte to dělat pouze pod dozorem orgánů veřejné moci.

Článek 11 - Jak zpracovávat osobní údaje bez identifikace (R57)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud zpracováváte osobní údaje, které neumožňují určit konkrétní fyzickou osobu, není potřeba zjišťovat další údaje kvůli tomu, abyste získali souhlas.

Například získáte pouze emailovou adresu, ze které není možné identifikovat konkrétní osobu. Nemáte povinnost zjišťovat, o jakou osobu se jedná. Když vám dotyčný zavolá a chce své jméno doplnit, tak ho neodmítnete, ale doplníte dodané údaje.

Sbírejte co nejvíc informací anonymně např. dotazníky, ankety apod.

Jedná se sice o data, která zpracováváte, není však možné určit konkrétního člověka, tudíž se na ně nevztahuje Nařízení.

Kapitola III.  - Práva občanů

Článek 12 - Buďte transparentní ohledně toho, co děláte s daty (R39, R58-R60)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Buďte ke svým kontaktům, zájemcům a zákazníkům upřímní a průhlední.

Jednoduchým a srozumitelným jazykem jim dejte vědět, proč jejich osobní údaje zpracováváte, a jak s nimi pracujete.

Pokud chtějí vědět, jaké údaje o nich zpracováváte, musíte jim vyhovět a co nejrychleji jim odpovědět.

Pokud by ale posílali svoji žádost opakovaně, můžete další odpovědi zpoplatnit.

V případě, kdy máte podezření, že někdo chce registrovat osobní údaje jiného člověka, můžete požádat o dodatečnou identifikaci.

Veškeré dokumenty, které píšete a budou sloužit pro lidi, musí být napsány tak, aby jim rozuměl každý.

Nechte své texty přečíst nezaujaté osoby, abyste si ověřili, že jim rozumí opravdu každý.

Článek 13 - Lidem při získávání osobních údajů musíte podat následující informace (R39, R58)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

U všech svých formulářů a dalších míst, které slouží pro registraci, umístěte následující informace:

  • kontaktní údaje na vás jako správce
  • na co chcete osobní údaje použít
  • jaké osobní údaje potřebujete
  • jak dlouho je budete zpracovávat
  • kam je možné se obrátit s žádostmi ohledně problémů nebo smazání dat
  • proč a jak používáte profilování
  • pokud máte své zpracovatele, tak je všechny označte
  • zda plánujete data předávat 3. stranám
  • jak jsou data zabezpečena
  • právo na přístup k informacím
  • a další...

Vytvořte jedno nebo více prohlášení o zpracování osobních údajů, které umístíte na svých webových stránkách a přidáte jako odkaz k formulářům na sběr osobních údajů.

Článek 14 - Lidem při získávání osobních údajů musíte podat následující informace, i když jste osobní údaje nezískali přímo od nich (R39, R58)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

I když získáváte osobní údaje od někoho jiného, tak stále musíte mít k dispozici informace z článku 13 a navíc kontakt na správce dat.

Vytvořte jedno nebo více prohlášení o zpracování osobních údajů, které umístíte na svých webových stránkách.

Článek 15 - Lidé mají právo na přístup ke svým osobním údajům (R63)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Lidé se na vás mohou obracet s dotazem, jestli zpracováváte jejich osobní údaje a jaké konkrétně to jsou.

Tyto informace jim musíte na základě jejich žádosti poskytnout.

Dále musíte poskytnout následující informace:

  • proč je zpracováváte, na základě jakého právního titulu
  • kde jsou data uložena a kdo k nim má přístup, zda byla například předána do třetích zemí
  • jak dlouho tato data budete zpracovávat
  • právu na vymazání nebo opravu
  • možnosti podat stížnost proti zpracování

V okamžiku, kdy tyto informace předáváte, nesmíte ohrozit žádné další osoby.

Musíte být schopni odpovědět na všechny dotazy svých kontaktů, zákazníků a zajistit všechna jejich práva.

Vytvořte si fiktivního zákazníka a zahrajte situaci, kdy on se ptá a vy odpovídáte, abyste byli připraveni na všechny nepříjemné dotazy.

Článek 16 - Lidé mají právo na opravu (R39, R59)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

V okamžiku, kdy se na vás někdo obrátí a žádá opravu svých osobních údajů, jste povinni to udělat.

Vytvořte si interní pravidla pro opravu osobních údajů.

Článek 17 - Právo na výmaz (právo „být zapomenut“) (R65, R66)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud člověk požádá o výmaz svých osobních údajů, musíte být schopni to bez zbytečného odkladu udělat. Ale pouze za předpokladu, že vám další zpracování neukládá jiný právní předpis.

Lidé mohou svůj souhlas se zpracováním odvolat. Případně mohou požádat o smazání, protože jejich osobní údaje byly použity i za jiným účelem, než ke kterému dali svůj souhlas.

Vytvořte si interní pravidla pro výmaz osobních údajů.

Článek 18 - Lidé mohou požádat o omezení zpracování (R67)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení vyjmenovává situace, při kterých může člověk požádat, aby zpracování jeho osobních údajů bylo pozastaveno do určité doby.

Vytvořte si interní pravidla pro případ, kdy vás člověk požádá o omezení zpracování jeho osobních údajů.

Článek 19 - Máte oznamovací povinnost v případě hromadných oprav, výmazu nebo omezení zpracování (R67)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud musíte provést hromadně nějakou úpravu zpracovávaných údajů, máte povinnost o tom dotčené osoby informovat. Ovšem pouze za předpokladu, že to nevyžaduje nepřiměřené úsilí.

Připravte si scénář pro případ, kdy vás někdo kontaktuje, že nalezl problém se zpracováním svých osobních údajů, a vy na základě toho potřebujete udělat hromadnou úpravu i u ostatních.

Určete si, jak to případně oznámíte všem.

Článek 20 - Lidé mají právo na přenositelnost svých dat (R68)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Lidé se na vás můžou obrátit s dotazem, jaké údaje o nich zpracováváte. A požadovat, aby si je mohli přenést pod jiného správce.

Musíte připravit takový datový soubor se všemi daty, které vám člověk poskytl. Takový soubor bude v běžně využívaném formátu a člověk ho může předat novému správci.

Připravte funkci pro export dat, které o člověku máte.

Případně zjistěte, jestli váš zpracovatel tuto možnost nabízí.

Článek 21 - Lidé mají právo vznést námitku proti zpracování a profilování (R70)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Lidé mají právo vznést námitku proti zpracování osobních údajů nebo profilování.

Pokud lidé vznesou námitku proti zpracování osobních údajů nebo profilování a nemáte k němu jiný právní důvod, musí být zpracování a profilování ukončeno.

Informujte o tomto právu při první komunikaci s člověkem.

Článek 22 - Automatizované individuální rozhodování (R71)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Lidé mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů nebo profilování.

Pokud rozhodujete o svěřených datech automaticky, připravte systém lidské kontroly.

Článek 23 – Omezení (R73)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Členské země EU mohou přijmout své zákony, které mění Nařízení, pro řadu případů jako je třeba národní bezpečnost, obranu, veřejnou bezpečnost a vyšetřování.

Sledujte zákonnou úpravu Nařízení v České republice.

Kapitola IV.  - Správce a zpracovatel

Článek 24 - Odpovědnost správce (R78)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Správce je povinen zajistit taková technická a organizační opatření, aby zpracování osobních údajů probíhalo v souladu s Nařízením. 

Tato opatření je potřeba přezkoumat a upravovat podle potřeby. Zároveň musí být správce schopen tato opatření doložit.

Přezkoumejte a upravte své interní předpisy související se zpracováním osobních údajů podle aktuální situace v podnikání. Například při uvedení nových produktů, nových kategorií osobních údajů ad.

Zároveň evidujte záznamy o provedených školeních ohledně znalostí a dodržování Nařízení.

Článek 25 - Záměrná a standardní ochrana osobních údajů (R74)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Správce je povinen zavést taková technická a organizační opatření, aby ochránil osobní údaje lidí. Mezi taková opatření patří „pseudonymizace“ nebo to, že budete zpracovávat pouze data nezbytná pro daný účel.

Data nesmí být bez zásahu člověka dostupná komukoliv.

Vzdělávejte své spolupracovníky o ochraně osobních údajů.

Pracujte s osobními údaji na principu minimalizace – pro každou operaci využijte jenom data nezbytně nutná – a maximálně používejte šifrování dat.

Chraňte data proti přístupu náhodných kolemjdoucích.

Článek 26 - Společní správci (R79)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud sdílíte osobní údaje i s dalšími správci, musíte se domluvit na odpovědnosti.

Uzavřete smlouvy s dalšími společnými správci a vymezte si vzájemné odpovědnosti.

Článek 27 - Zástupci správců nebo zpracovatelů neusazených v EU (R80)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud správce zpracovává osobní údaje občanů EU a nemá sídlo v EU, musí si najít svého zástupce, který má sídlo v EU.

Jestli podnikáte mimo EU, najděte si v EU svého zástupce.

Článek 28 – Zpracovatel (R81)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Služby, které využíváte (zpracovatelé), musí být kompatibilní s GDPR.

Zpracovatel smí zpracovávat osobní údaje na základě pověření od správce pouze v takovém rozsahu, jaký stanoví správce.

Zpracovatel nesmí bez souhlasu správce data ukládat v datových centrech mimo EU, dále je poskytovat třetím stranám, ani je jinak využívat pro své potřeby.

Vzájemný vztah mezi správcem a zpracovatelem musí být řešen prostřednictvím smlouvy.

Ujistěte se, že všichni zpracovatelé, kteří pracují s vašimi daty, jsou v souladu s GPDR.

Většina služeb by nyní už měla mít na svých webových stránkách informace, že jsou v souladu s GDPR, případně je v nejbližší době zveřejnit. Vy se ve svých prohlášeních o zpracování osobních údajů na tyto stránky odkazujte.

Zajistěte si smlouvu se zpracovateli.

Evidujte všechny služby a zpracovatele, které využíváte, podrobnosti a kontakty na ně.

Článek 29 - Zpracování z pověření správce nebo zpracovatele (R81)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Zpracovatel, který je pověřen správcem, může zpracovávat pouze taková data, která získal od správce a na jehož pokyn je zpracovává.

Pokud nejste zpracovatel, tento článek se na vás nevztahuje.

Pokud jste zpracovatel, nijak s pověřenými daty nespekulujte, nevytvářejte z nich žádné analýzy a nijak s nimi dále nepracujte nad rámec pověření.

Článek 30 - Záznamy o činnostech zpracování (R82)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Jako správce musíte sledovat, co se děje s osobními údaji, které zpracováváte. Vést záznamy o činnostech zpracování.

Tento článek se na vás ale nevztahuje, pokud máte méně něž 250 zaměstnanců a zpracování není vaší hlavní činností.

Pokud máte povinnost vést záznamy o zpracování, seznamte se se všemi náležitostmi, které musí obsahovat, a veďte je.

Článek 31 - Spolupráce s dozorovým úřadem

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud vás dozorový úřad požádá o spolupráci při plnění jeho úkolů, máte povinnost mu vyhovět.

Ujistěte se, že máte zpracovány všechny kroky vztahující se k dodržování GDPR.

Je dobré evidovat i stížnosti lidí pro případ kontroly ze strany dozorového úřadu.

Článek 32 - Minimum, které musíte udělat pro bezpečnost dat (R83)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Správce i zpracovatel je povinen zajistit svá data způsobem odpovídajícím riziku, a to zejména pomocí:

  • pseudonymizace a šifrování
  • schopnosti obnovit data v případě technických incidentů
  • pravidelného testování bezpečnosti
  • zohlednění rizika porušení bezpečnosti

Zaveďte vhodná a přiměřená bezpečnostní opatření.

Zajistěte bezpečné uložení dat.

Pravidelně bezpečnostní opatření prověřujte a vylepšujte.

Připravte plány pro případ porušení bezpečnosti a úniku dat.

Článek 33 - Ohlášení porušení zabezpečení dozorovému úřadu (R85)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

V okamžiku, kdy zjistíte, že došlo k porušení zabezpečení ochrany dat, jste jako správce povinen tuto skutečnost ohlásit do 72 hodin dozorovému úřadu.

Připravte plán, podle kterého budete v případě porušení dat postupovat.

Stanovte, kdo u vás bude za hlášení porušení odpovídat.

Článek 34 - Ohlášení porušení zabezpečení lidem (R86)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud dojde k porušení zabezpečení a mohlo by mít za následek vysoké riziko pro práva občanů, je správce povinen je o tom informovat. A to bez zbytečného odkladu.

Připravte plán, podle kterého budete postupovat v případě porušení ochrany dat.

Připravte metodu, pomocí které budete tuto skutečnost oznamovat lidem.

Článek 35 - Před novými projekty si připravte hodnocení dopadu na ochranu osobních údajů (R90, R91, R92)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Před tím, než spustíte nové projekty nebo služby, při kterých dojde ke zpracování osobních údajů, je potřeba zjistit, jaký to bude mít vliv na bezpečnost dat.

Jaká data budete zpracovávat, jak budou zabezpečena, jak bude probíhat případné profilování.

U každého nového projektu nebo služby vytvořte dokumentaci, jaký bude mít projekt vliv na ochranu osobních údajů.

Článek 36 - Konzultace s dozorovým úřadem (R84, R94)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud z vámi připraveného posouzení vzejde vysoké riziko pro bezpečnost zpracovávaných osobních údajů, je potřeba toto konzultovat s dozorovým orgánem.

Ten má na posouzení lhůtu 8 týdnů.

Pokud tedy z posouzení vyjde zvýšené riziko pro ochranu osobních údajů, celou záležitost proberte s dozorovým úřadem.

S dostatečným předstihem. Protože může lhůtu na vyřízení ještě prodloužit.

Článek 37 - Jmenování pověřence pro ochranu osobních údajů (R97)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Nařízení určuje případy, ve kterých je správce a zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů (DPO).

Například v situaci, kdy zpracováváte osobní údaje v rozsáhlém množství nebo je zpracování hlavní činností.

Měl by být odborníkem na ochranu osobních údajů, znalost Nařízení, ale certifikace ani požadované odbornosti nejsou stanoveny.

Určete, jestli vám z Nařízení plyne povinnost jmenovat pověřence osobních údajů (DPO).

Pokud ano, může tuto funkci vykonávat v zaměstnaneckém poměru nebo na základě smlouvy o poskytování služeb.

Pověřenec nesmí být v konfliktu zájmů.

Pokud máte povinnost DPO, najděte si ho.

Článek 38 - Postavení pověřence pro ochranu osobních údajů (R97)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

DPO musí být zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

Ze strany správce a zpracovatele musí mít náležitou podporu a je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

Zveřejněte ve svých prohlášeních o zpracování osobních údajů kontakt na svého DPO.

DPO za vás komunikuje s dozorovým úřadem ve věcech ochrany osobních údajů a také s jednotlivými lidmi, kteří u Vás mají své údaje.

Článek 39 - Úkoly pověřence pro ochranu osobních údajů (R97)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

DPO vás informuje o tom, jak zpracovávat osobní údaje v souladu s Nařízením. A to zejména formou:

  • konzultací
  • poradenství
  • dohledem na soulad s Nařízením
  • spoluprací a vzděláváním pracovníků zapojených do zpracování osobních údajů
DPO je kontaktní osobou pro dozorový úřad.

Spolupracujte se svým DPO a poskytujte mu vhodné podmínky pro jeho práci.

Článek 40 - Kodexy chování (R77, R81, R98)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Sdružení nebo jiné subjekty by měly vypracovat kodexy, jak zavést nařízení v rámci různých odvětví. Například Asociace malých a středních podniků spravuje portál GDPR bez obav.

Tyto kodexy chování jsou dobrovolné.

Zjistěte, jestli existují kodexy chování pro váš obor podnikání.

Kodexy jsou dobrovolné, ale mohou vám pomoci s ochranou osobních údajů specifických pro váš obor podnikání.

Článek 41 - Monitorování schválených kodexů chování

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Monitorovat a porovnávat soulad s kodexem chování mohou pouze subjekty, které jsou pro tento účel akreditované příslušným dozorovým úřadem.

Pokud pro váš obor existuje kodex chování, pouze akreditovaný subjekt má právo rozhodnout, jestli jste s tímto kodexem ve shodě.

Článek 42 - Vydávání osvědčení (R77, R81)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Sdružení a jiné subjekty mohou stanovit certifikáty, které jsou udělovány firmám, které jsou s příslušným kodexem v souladu.

Zjistěte si, zda je k dispozici certifikace pro váš obor podnikání.

Článek 43 - Subjekty pro vydávání osvědčení (R77, R81)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Certifikace musí být schváleny dozorovými orgány.

Prověřte si, zda certifikace, o kterou usilujete je schválena příslušnými dozorovými orgány.

Kapitola V.  - Předávání osobních údajů do třetích zemí

Článek 44 - Obecná zásada pro předávání osobních údajů do třetích zemí (R101)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Obecně platí, že k jakémukoliv předání osobních údajů může dojít pouze tehdy, pokud jsou splněny podmínky stanovené v dalších nařízeních této kapitoly.

Pokud se vás tato situace týká, připravte si proces pro předávání dat do třetích zemí.

Článek 45 - Předání založené na rozhodnutí o odpovídající ochraně (R103, R104)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud chcete předávat osobní údaje do třetích zemí nebo mezinárodním organizacím, které zajišťují odpovídající úroveň ochrany dat, nepotřebujete k předání zvláštní povolení.

Pokud se vás tato situace týká, připravte si proces pro předávání dat do třetích zemí.

Článek 46 - Předání založené na vhodných zárukách (R104)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud přenesete data do třetí země, která není na seznamu dle předchozího článku, musí správce nebo zpracovatel poskytnout vhodné záruky týkající se bezpečnosti dat.

Zjistěte si, jak daná země přistupuje k otázce bezpečnosti dat.

Článek 47 - Závazná podniková pravidla (R108)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud společnost, která není usazena v EU a chce zpracovávat osobní údaje občanů EU, vytvoří vlastní závazná firemní pravidla odpovídající Nařízení, může ke zpracování dojít.

Tato firemní pravidla musí být přísně dodržována, jinak by nebylo možné osobní údaje zpracovávat.

Pokud plánujete spolupracovat nebo spolupracujete se společností mimo EU, zjistěte si, zda mají korporátní pravidla, která by jim umožnila být v souladu s GDPR.

Článek 48 - Řešení mezinárodních sporů (R115)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Rozhodnutí soudu nebo správního orgánu třetí země, které po správci nebo zpracovateli požaduje předání osobních údajů, je možné pouze za předpokladu, že vycházejí z mezinárodních dohod.

Neporušujte mezinárodní právo.

Článek 49 - Výjimky pro specifické situace (R111)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Pokud v zemi, kam přenášíte data, neexistují žádná pravidla ani záruky, může k předání dojít pouze za předpokladu splnění podmínek definovaných v Nařízení, např.

  • člověk je informován o možných rizicích, a přesto vyslovil souhlas
  • předání je nezbytné pro plnění smlouvy

Připravte si interní postup, jak budete postupovat v takovém případě.

Jak získáte souhlas člověka s přenosem jeho osobních údajů do třetí země a jak ho budete informovat o možných bezpečnostních rizicích.

Článek 50 - Mezinárodní spolupráce v oblasti

CO ŘÍKÁ GDPR

Dozorové úřady podniknou kroky ve vztahu k třetím zemím a mezinárodním organizacím k rozvoji mechanismů a vzájemné spolupráci na poli ochrany osobních údajů.

Tyto kroky by – doufejme – měly usnadnit vaši práci.

Kapitola VI.  - Nezávislé dozorové úřady

Článek 51 - Dozorový úřad (R117-R122)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý členský stát EU je povinen stanovit jeden nebo více dozorových úřadů.

Pro Českou republiku je to Úřad na ochranu osobních údajů https://www.uoou.cz/.

Sledujte webové stránky Úřadu pro ochranu osobních údajů, kde v sekci GDPR – obecné nařízení najdete veškeré informace k tomuto Nařízení, dokumenty, odpovědi na nejčastější otázky a další.

Článek 52 – Nezávislost (R117-R122)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý dozorový úřad jedná nezávisle.

Nesnažte se uplatit dozorový úřad. 🙂

Článek 53 - Obecné podmínky pro členy dozorového úřadu

CO ŘÍKÁ GDPR

Každý člen dozorového orgánu bude jmenován parlamentem, vládou hlavou státu nebo nezávislým subjektem, který má k tomu pověření členského státu.

Článek 54 - Zřízení dozorového úřadu

CO ŘÍKÁ GDPR

Každý členský stát upraví předpisem náležitosti zřízení dozorového úřadu, kvalifikaci a podmínky způsobilosti požadované pro jmenování člena, délku funkčního období ad.

Článek 55 - Příslušnost

CO ŘÍKÁ GDPR

Každý dozorový úřad je na území svého členského státu kompetentní k plnění úkolů a výkonu pravomocí v souladu s tímto Nařízením.

Článek 56 - Příslušnost vedoucího dozorového úřadu (R117-R122)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Dozorové úřady by měly řešit problémy týkající se zemí, ve kterých působí. V případě řešení přeshraničního zpracování je vedoucím dozorovým úřadem ten, ve kterém státě má správce hlavní provozovnu.

V případě podání podnětu jinému dozorovému úřadu tento informuje vedoucí dozorový úřad, který určí, jestli se tímto podnětem bude zabývat.

Přesto, že Nařízení platí ve všech zemích EU, veškeré problémy a dotazy směřujte na dozorový úřad své země, případně země, kde máte hlavní provozovnu.

Článek 57 - Úkoly dozorového úřadu

CO ŘÍKÁ GDPR

Každý dozorový úřad vykonává celou řadu činností: sledování dodržování Nařízení, řešení stížností subjektů údajů, poskytování poradenství ad.

Článek 58 - Pravomoci dozorového úřadu (R129)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý dozorový úřad má řadu vyšetřovacích pravomocí a správce i zpracovatel s ním má povinnost spolupracovat. Zejména při vyšetřování, auditech. Musíte mu umožnit přístup do svých prostor ad.

Dozorový úřad má pravomoc vydávat stanoviska, schvalovat návrhy kodexů chování ad.

Až (jestli) přijde čas, tak s dozorovým úřadem maximálně spolupracujte.

Článek 59 - Zprávy o činnosti

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý dozorový úřad jedenkrát ročně připraví výroční zprávu o své činnosti, která může mimo jiné obsahovat i přehled všech ohlášených porušení Nařízení.

Snažte se udělat vše pro to, abyste nebyli ve zprávě uvedeni.

Kapitola VII.  - Spolupráce a jednotnost

Článek 60 - Spolupráce mezi dozorovými úřady

CO ŘÍKÁ GDPR

Vedoucí dozorový úřad bude spolupracovat s dotčenými dozorovými úřady a vzájemně si budou vyměňovat potřebné informace.

Článek 61 - Vzájemná pomoc

CO ŘÍKÁ GDPR

Dozorové úřady si budou vzájemně pomáhat a předávat informace týkající se dodržování Nařízení.

Článek 62 - Společné postupy dozorových úřadů

CO ŘÍKÁ GDPR

Dozorové úřady budou provádět společné postupy při řešení incidentů.

Článek 63 - Mechanizmus jednotnosti

CO ŘÍKÁ GDPR

Dozorové úřady ve spolupráci s Komisí budou Nařízení uplatňovat jednotně, prostřednictvím mechanismů uvedených v dalších článcích.

Článek 64 - Stanovisko sboru

CO ŘÍKÁ GDPR

Sbor bude vydávat stanoviska k různým situacím jako novým pravidlům, kritériím kodexů chování a dalším, které budou chtít dozorové úřady přijmout.

Článek 65 - Řešení sporů se sborem

CO ŘÍKÁ GDPR

Sbor se také bude věnovat řešení sporů mezi dotčenými dozorovými úřady a vedoucím dozorovým úřadem.

Článek 66 - Postup pro naléhavé případy

CO ŘÍKÁ GDPR

V případech, kdy se bude dozorový úřad domnívat, že je potřeba v zájmu ochrany práv a svobod občanů přijmout nějaké opatření, může se odchýlit od běžných postupů a dočasně přijmout nezbytné opatření.

Článek 67 - Výměna informací

CO ŘÍKÁ GDPR

To, jakým způsobem bude probíhat elektronická výměna informací mezi dozorovými orgány a Sborem bude určovat Komise prostřednictvím prováděcích aktů.

Článek 68 - Evropský sbor pro ochranu osobních údajů

CO ŘÍKÁ GDPR

Každý členský stát, respektive vedoucí členové jejich dozorového úřadu budou společně s evropským inspektorem tvořit Evropský sbor. 

Článek 69 - Nezávislost

CO ŘÍKÁ GDPR

Sbor bude nezávislým orgánem, který od nikoho nepřijímá pokyny.

Článek 70 - Úkoly Sboru

CO ŘÍKÁ GDPR

Sbor bude zajišťovat uplatňování Nařízení. Bude poskytovat poradenství Komisi, dozorovým úřadům, vydávat pokyny a doporučení, provádět akreditaci subjektů pro vydávání osvědčení ad.

Článek 71 - Zprávy

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Jedenkrát ročně Sbor vypracuje výroční zprávu.

 Výroční zprávy budou kromě jiného obsahovat i posouzení praktického uplatňování pokynů, postupů závazných rozhodnutí.

Seznamujte se s touto výroční zprávou, protože by mohla obsahovat zajímavé a užitečné informace pro praktické uplatňování Nařízení.

Článek 72 - Postup

CO ŘÍKÁ GDPR

Sbor bude přijímat rozhodnutí prostou většinou, k odsouhlasení jednacího řádu bude potřeba souhlas více než dvou třetin členů.

Článek 73 - Předseda

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Sbor si zvolí předsedu a dva místopředsedy, a to vždy na 5leté funkční období.

Zjistěte si, kdo je aktuálně předsedou, a sledujte ho na Twitteru nebo Facebooku. Budete mít novinky z první ruky.

Článek 74 - Úkoly předsedy

CO ŘÍKÁ GDPR

Předseda mimo jiné svolává jednání sborů, jejich pořad, oznamuje rozhodnutí přijatá sborem ad.

Článek 75 - Sekretariát

CO ŘÍKÁ GDPR

Zajišťuje každodenní provoz Sboru.

Článek 76 - Důvěrnost

CO ŘÍKÁ GDPR

V nezbytných případech je jednání sborů důvěrné.

Kapitola VIII.  - Právní ochrana, odpovědnost a sankce

Článek 77 - Právo podat stížnost u dozorového úřadu (R141)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý člověk, může podat stížnost k dozorovému úřadu, když má pocit, že jeho práva byla porušena.

Od dozorového úřadu poté obdrží informace o projednání stížnosti a jejím výsledku.

Máte povinnost informovat své zájemce a zákazníky o tom, že v případě potřeby mohou podat stížnost k dozorovému úřadu.

Zaneste tedy tuto informaci do svého prohlášení o zpracování osobních údajů.

Dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů.

Článek 78 - Právo na soudní ochranu vůči dozorovému orgánu

CO ŘÍKÁ GDPR

Fyzické i právnické osoby mohou žalovat dozorový úřad v situaci, kdy mají pocit, že jejich případ nebyl vyřešen správně a dožadovat se svého práva soudní cestou.

Článek 79 - Právo na soudní ochranu vůči správci nebo zpracovateli (R143, R145)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Občané EU, v případě, když mají pocit, že byla porušena jejich práva při zpracování osobních údajů, mohou žalovat správce nebo zpracovatele jejich osobních údajů.

Mějte v paměti možnost, že budete plnění nařízení dokazovat před soudem.

Článek 80 - Zastupování občanů (R142)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Občané EU mohou k zastupování u soudu využít služeb neziskové organizace nebo jiného sdružení, které se ochraně osobních údajů věnují.

Prověřte si každou organizaci, která se na vás obrátí, a pokud je to nutné, spolupracujte.

Článek 81 - Přerušení řízení

CO ŘÍKÁ GDPR

Pokud vás jako správce nebo zpracovatele zažalují lidé ve více členských státech a bude proti vám zahájeno více soudních řízení pro stejné porušení, mohou další soudy řízení přerušit. A řízení bude probíhat pouze u toho prvního.

Článek 82 - Právo na náhradu újmy a odpovědnost (R146)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Každý, kdo v důsledku porušení Nařízení utrpí hmotnou nebo nehmotnou újmu, má právo od správce nebo zpracovatele na její náhradu.

Správce je zodpovědný za újmu, kterou způsobí porušením tohoto Nařízení.

Zpracovatel je zodpovědný za újmu, pokud přímo poruší Nařízení nebo jedná nad rámec toho, k čemu by správcem pověřen.

Správce i zpracovatel se mohou odpovědnosti zprostit pouze za předpokladu, že prokáží, že nenesou odpovědnost za událost, která k újmě vedla.

Dodržujte Nařízení a vybírejte si takové zpracovatele, kteří jsou v souladu s tímto nařízením.

Je nezbytné mít se zpracovatelem uzavřenou zpracovatelskou smlouvu a v ní definované jednotlivé oblasti zpracování a ochrany osobních údajů.

Článek 83 - Obecné podmínky pro ukládání správních pokut (R148-R152)

CO ŘÍKÁ GDPR

ÚKOLY PRO VÁS

Správní pokuty za porušení Nařízení bude ukládat dozorový úřad podle každého jednotlivého případu a bude zohledňovat řadu okolností. Například závažnost porušení, povahu porušení, zda šlo o úmysl nebo nedbalost, jestli se správce nebo zpracovatel pokusil zmírnit dopady ad.

Pokuty budou ukládány tak, aby byly účinné, přiměřené a odrazující.

Při zpracování osobních údajů postupujte podle Nařízení, ať riziko sankcí co nejvíce omezíte.

Buďte připraveni na případnou kontrolu ze strany dozorového úřadu.

Článek 84 - Sankce

CO ŘÍKÁ GDPR

Členské státy stanoví pravidla pro jiné sankce, které v případě porušení Nařízení mohou uložit a nevztahují se na ně správní pokuty.

Tyto sankce budou ukládány tak, aby byly účinné, přiměřené a odrazující.

Kapitola IX.  - Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování

Článek 85 - Zpracování a svoboda projevu a informací

CO ŘÍKÁ GDPR

Dozorové úřady nemohou narušovat svými pravidly svobodu projevu a informací, například pro novinářské účely, nebo pro účely akademického nebo literárního projevu.

Pokud je to nutné, stanoví výjimky a odchylky pro zpracování pro novinářské účely, účely akademického, uměleckého a literárního projevu.

Tyto odchylky a výjimky by se měly vztahovat zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech.

Článek 86 - Zpracování a přístup veřejnosti k úředním dokumentům

CO ŘÍKÁ GDPR

Osobní údaje obsažené v úředních dokumentech mohou státní orgány zpřístupnit v souladu s právem EU nebo členského státu tak, aby byl zajištěn soulad mezi přístupem veřejnosti k úředním dokumentům a tímto Nařízením.

Článek 87 - Zpracování národních identifikačních čísel

CO ŘÍKÁ GDPR

Členské státy mohou stanovit pravidla pro zpracování národních identifikačních čísel, a to pouze v závislosti na vhodných zárukách práv a svobod občanů.

Článek 88 - Zpracování v souvislosti se zaměstnáním

CO ŘÍKÁ GDPR

Členské státy mohou stanovit přesnější pravidla ke zpracování osobních údajů zaměstnanců. Například kamerové systémy na pracovišti.

Článek 89 - Zpracování v souvislosti s archivací ve veřejném zájmu

CO ŘÍKÁ GDPR

Zpracování osobních údajů za účelem archivace ve veřejném zájmu, pro účely vědeckého a historického významu je možné, ale pouze za předpokladu vhodných záruk práv a svobod občanů.

Taková zpracování by měla být prováděna na principu minimalizace, to znamená archivovat pouze údaje nezbytně nutné. Využívat například pseudonymizaci a další opatření, aby nebyla porušena práva občanů.

Článek 90 - Povinnost mlčenlivosti

CO ŘÍKÁ GDPR

Členské státy mohou stanovit zvláštní pravidla pro zpracování osobních údajů takovým správcům a zpracovatelům, jako jsou například orgány s povinností zachovávat služební tajemství nebo mají jiné povinnosti mlčenlivosti.

Článek 91 - Zavedená pravidla pro církve a náboženská sdružení

CO ŘÍKÁ GDPR

Pokud mají církve nebo jiná náboženská sdružení stanovena vlastní pravidla pro ochranu osobních údajů, ta mohou i nadále platit, ale pouze za předpokladu, že budou uvedena do souladu s Nařízením. Tyto subjekty mohou mít i vlastní dozorový úřad, pokud splňuje znaky dozorového úřadu stanovenými tímto Nařízením.

Kapitola X.  - Akty v přenesené pravomoci a prováděcí akty

Článek 92 - Výkon přenesené pravomoci

CO ŘÍKÁ GDPR

Článek určuje situace, kdy je možné přijímat akty v přenesené pravomoci.

Článek 93 - Postupy projednávání ve výboru

CO ŘÍKÁ GDPR

Komisi v její činnosti pomáhá výbor a to zejména v oblastech kontroly činnosti Komise.

Kapitola XI.  - Závěrečná ustanovení

Článek 94 - Zrušení směrnice 95/46/ES

CO ŘÍKÁ GDPR

Směrnice 95/46/ES se ke dni 25. 5. 2018 ruší.

Článek 95 - Vztah ke směrnici 2002/58/ES

CO ŘÍKÁ GDPR

Toto Nařízení by se mělo použít na všechny záležitosti ochrany práv a svobod občanů při zpracování osobních údajů, na které se nevztahuje Směrnice o soukromí a elektronických komunikacích (2002/58/ES).

Tato směrnice známá pod označením e-Privacy také prochází novelou, ale zatím nenabyla účinnosti.

Článek 96 - Vztah k dříve uzavřeným dohodám

CO ŘÍKÁ GDPR

Mezinárodní dohody týkající se předávání osobních údajů do třetích zemí nebo mezinárodním organizacím zůstávají v platnosti.

Ale pouze za podmínky, že byly uzavřeny před 24. 6. 2016 a jsou v souladu s právem EU.

Článek 97 - Zprávy Komise

CO ŘÍKÁ GDPR

Komise bude připravovat každé 4 roky zprávu o hodnocení a přezkumu Nařízení.

Článek 98 - Přezkum jiných právních aktů

CO ŘÍKÁ GDPR

Pokud budou existovat nesrovnalosti mezi Nařízením a jinými právními akty týkajícími se ochrany osobních údajů, Komise bude postupně tyto nesrovnalosti řešit.

Článek 99 - Vstup v platnost a použitelnost

CO ŘÍKÁ GDPR

Nařízení se použije od 25. 5. 2018.

Je to nálož

Obecné nařízení pro ochranu osobních údajů, které se na nás od 25. 5. 2018 hrne není žádný drobeček.

U nás v České republice máme naštěstí tu výhodu, že tady už nějaký pátek (je plnoletý) platí zákon č. 101/2000 Sb., o ochraně osobních údajů. V něm jsou podobné pojmy jako v Nařízení a když ho už teď dodržujete, máte skoro vyhráno. Stačí doladit pár drobností.

Další zajímavé články k GDPR

Včeliště: GDPR nekouše: 3 pádné důvody, proč se z ochrany osobních údajů nezblázníte

Shoptet: GDPR checklist

5 kroků ke GDPR pro blogery, marketéry a digitální podnikatele

Na závěr jenom připomínám, že nejsme právníci ani se na GDPR nespecializujeme. Jenom ho sami řešíme pro nástroj Clipsan.com, který blogerům a digitálním podnikatelům pomáhá s marketingem a prodejem.

Jaké jsou vaše poznatky z GDPR?

Napište je do komentářů a klidně přidejte i odkazy na zajímavé zdroje.

Následující záložky mění níže uvedený obsah.
Václav Krajňák
Václav pomáhá podnikatelům a malým firmám napříč obory prodávat a vydělávat na internetu víc pomocí strategií a systémů na maximalizaci zisku. Založil službu pro automatizaci prodeje a marketingu Clipsan. Nahrává týdenní podcast pro podnikatele a marketéry Strategické zisky.

Novinky na email

Získejte nejnovější články a návody jako první.

GDPR hezky česky
Chcete mít konečně jasno v GDPR a nejste právník?
Tak si ihned stáhněte 35 stránkovou brožuru „GDPR hezky česky”!

Odesláním formuláře souhlasíte s tím, že údaje budeme zpracovávat pro marketing v souhladu s Ochranou dat a Podmínkami.