Prošli jsme článek po článku celé Obecné nařízení pro ochranu osobních údajů (anglická zkratka GDPR) a velice stručně jsme shrnuli obsah každého z nich. Celý text jsme popsali co nejvíce jednoduše a lidsky.
Po přečtení „GDPR hezky česky” byste měli mít přehled o tom, kterou část Nařízení ještě nemáte úplně zmáknutou a co je ještě do 25. května 2018 potřeba stihnout.
Budete vědět, jaké interní předpisy a postupy je ještě potřeba stanovit, abyste byli připraveni na dotazy svých zákazníků, nájezdy hackerů a návštěvu kontroly z Úřadu pro ochranu osobních údajů.
Článků je 99 a proto má i tento příspěvek 99 bodů. Ale nezoufejte hned na začátku, ne každý z bodů se Vás týká. Hlavně v druhé polovině budete poměrně často přeskakovat. Navíc jsme udělali užitečnou barevnou pomůcku.
| Týká se všech | Týká se jen někoho | Jen pro info |
Když si prolistujete Nařízení, zjistíte, že se skládá ze dvou částí. V první části jsou tzv. recitály (R1-R173), které podrobněji vysvětlují a rozvádějí samotné články Nařízení. Pro snadnou orientaci jsme k názvu článku přidali odpovídající číslo recitálu.
Ti, kdo raději listují úplnými zněními zákonů a milují paragrafy a všechnu tu omáčku okolo, ať se raději začtou přímo do úplného znění Nařízení, které má „jenom“ 88 stránek. Tady je odkaz.
Pokud vám po přečtení nějakého článku není vše jasné, tak si jednoduše přečtěte danou části v originálním znění nařízení nebo zmíněném recitálu.
Slovníček pojmů
Začneme 8 nejčastějšími pojmy, bez kterých se Nařízením neprokoušete. Jestli si chcete obohatit slovní zásobu a znát všechny, tak v originále Nařízení v článku č. 4 je celkem 26 pojmů.
Osobní údaje
Osobními údaji jsou veškeré informace o konkrétní fyzické osobě, podle kterých ji můžete identifikovat buď přímo, anebo pokud máte takové údaje dva a na základě těchto dvou údajů ji dokážete identifikovat.
Příklad: Jméno, e-mailová adresa, telefonní číslo, rodné číslo, IP adresa, ale i zvláštní kategorie osobních údajů například otisky prstů, národnost, rasový původ, zdravotní stav ad.
Správce
Správcem je fyzická nebo právnická osoba, který sám nebo společně s jinými zpracovává osobní údaje.
Příklad: Správcem je každý, kdo má ve firmě zaměstnance, má databázi zákazníků, eviduje zájemce o své služby, má e-mailovou databázi nebo jinou evidenci. Nezáleží na počtu těchto zpracovávaných údajů.
Zpracovatel
Zpracovatelem je fyzická nebo právnická osoba, která zpracovává osobní údaje pro správce.
Příklad: Správce používá ke komunikaci mailingový systém a jeho dodavatel je Zpracovatelem. Pokud máte osobní údaje uloženy na Google Disku, jejich Zpracovatelem je Google. Pokud používáte jiné cloudové služby (Gmail, Seznam Mail, Dropbox, Evernote apod.) jsou vždy Zpracovatelem.
Mezi Správcem a každým Zpracovatelem musí být uzavřena smlouva, byť jen elektronická.
Zpracování
Zpracováním se rozumí jakákoliv operace s osobními údaji, která je prováděna buď automaticky nebo ručně. Mezi tyto operace patří shromažďování, ukládání do databáze, uspořádání, strukturování, mailování, úpravy, vyhledávání nebo šíření. Zkrátka veškeré operace, které s kontaktem souvisí – od jeho získání až po výmaz.
Příklad: Zájemce přijde na webovou stránku, kde máte formulář s brožurou. Zadá svůj e-mail a ten se uloží do databáze. A tím začíná jeho zpracování. Pak se na vás třeba po čase obrátí s dotazem, jaké jeho osobní údaje zpracováváte. A vy jeho kontakt vyhledáte, vyexportujete patřičná data a ty mu pošlete. To vše jsou zpracovatelské operace.
Profilování
Profilováním je jakákoliv forma automatického zpracování osobních údajů, na základě které je možné hodnotit některé skutečnosti o preferencích a chování dotyčného člověka.
Příklad: Když přijde člověk na webové stránky e-shopu, a ten ukládá veškeré informace o tom, na kterých stránkách se člověk pohyboval, jak dlouho, jestli nakonec udělal objednávku nebo ne, a další informace, které vyplynou z jeho chování na webových stránkách a podle toho upravuje nabídku.
Pseudonymizace
Pseudonymizací se rozumí situace, kdy jsou osobní údaje zpracovávány tak, že není možné je přiřadit ke konkrétnímu člověku bez dodatečných informací, které jsou ale zpracovávány odděleně.
Příklad: Osobní údaje zákazníků zašifrována pomocí speciálního klíče a tento klíč je uchováván odděleně. A bez klíče není možné převést šifrovaná data do normální podoby. Pokud by někdo ukradl osobní údaje, nepřečte je, když k nim nemá klíč.
Třetí strana
Třetí stranou je fyzická nebo právnická osoba, která není Správcem ani Zpracovatelem, ale je oprávněna osobní údaje zpracovávat.
Příklad: Obchodní partner, se kterým si vzájemně sdílíte své databáze kontaktů.
Dozorový úřad
Dozorový úřad je nezávislý orgán, který má pravomoc kontrolovat dodržování Nařízení v daném členském státě EU. Je možné se na něj obrátit v případě dotazů týkajících se Nařízení. Občané ale i Správci nebo Zpracovatelé u něj mohou podávat stížnosti, ad.
Dozorovým úřadem pro Českou republiku je Úřad na ochranu osobních údajů www.uoou.cz.
Kapitola I. - Základní informace k GDPR
Článek 1 - Co je GDPR a na koho se vztahuje (R13) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení má za cíl chránit osobní údaje občanů EU. Proto pokud jakýmkoliv způsobem zpracováváte osobní údaje fyzických osob EU, toto Nařízení se na vás vztahuje a jste povinni se jím řídit. |
Pokud působíte v EU a zpracováváte osobní údaje občanů EU, seznamte se s tímto Nařízením. Pokud vaše společnost nesídlí v EU, nebo zpracování osobních údajů neprobíhá na území EU, ale zpracováváte osobní údaje fyzických osob EU, Nařízení se na vás vztahuje také. A to bez ohledu na to, kolik máte zaměstnanců, jak velkou máte databázi kontaktů a jaké osobní údaje zpracováváte. |
Článek 2 - Na jaké osobní údaje se GDPR vztahuje (R14-21, R24, R27) |
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení se vztahuje na veškeré osobní údaje fyzických osob, které mají správci osobních údajů ve svých databázích, evidencích. Nařízení se nevztahuje na zpracování osobních údajů, které si fyzická osoba vede pro své potřeby (například vlastní adresář kontaktů na rodinu a přátele), nebo využívání sociálních sítí. To ale pouze za předpokladu, že to zpracování nemá souvislost s profesní nebo obchodní činností. |
Je potřeba zjistit, jaká úložiště dat ve své firmě používáte – oblast marketingu, personální, zákaznický servis a dalších. Sepište všechna úložiště, kde se nacházejí osobní data zájemců, zákazníků a zaměstnanců. |
Článek 3 - Na které státy se GDPR vztahuje (R22-R25) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nezáleží na tom, zda zpracování osobních údajů probíhá na území Evropské unie nebo mimo ni. Pokud se jedná o osobní údaje občanů EU, GDPR se na ně vztahuje. |
Zjistěte, kde jsou uloženy databáze zájemců, zákazníků a zaměstnanců, a prověřte, jestli jsou připravena na GDPR (datová centra, interní servery, Dropbox, Google Disk). Pokud pro uložení dat využíváte služeb datových center mimo Českou republiku, zjistěte si, ve kterých zemích jsou data fyzicky uložena. |
Článek 4 - Co znamenají pojmy používané v Nařízení (R26, R28, R30, R32, R38, R42, R43) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení využívá řadu pojmů, se kterými je potřeba se seznámit. Mimo jiné také rozšiřuje, co všechno je označeno jako osobní údaj. |
Seznamte se se všemi pojmy, které jsou v oblasti ochrany osobních údajů používány – všech 26 pojmů najdete přímo v Nařízení. Zjistěte všechny partnery a subjekty, které mají přístup k osobním údajům, které zpracováváte (hostingové společnosti, účetní program, CRM systém, marketingové nástroje, datová úložiště) a vytvořte si přehledný seznam. Vytvořte také seznam všech třetích stran, kterým předáváte osobní údaje například pro marketingové účely. |
Kapitola II. - Zásady zpracování osobních údajů
Článek 5 - Jak osobní údaje zpracovávat (R39, R50, R58, R60) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Osobní údaje musíte zpracovávat podle následujících zásad:
|
U všech osobních údajů, které máte ve svých databázích, prověřte:
|
Článek 6 - Jaký máte právní důvod zpracování osobních údajů (R40, R44-R47) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení definuje 6 základních právních důvodů, na základě, kterých můžete osobní údaje zpracovávat, aby zpracování bylo zákonné.
|
Zrevidujte u všech svých kontaktů, na základě kterého právního důvodu osobní údaje zpracováváte. Zároveň si u všech svých služeb nebo dalších aktivit (přihlášení k odběru newsletteru, e-booky na stránkách, přihláška na webinář ad.) stanovte, na základě jakého právního důvodu v tom daném případě osobní údaje zpracováváte. Jako správce musíte občany informovat o tom, na základě kterého právního titulu jejich osobní údaje zpracováváte. |
Článek 7 - Podmínky vyjádření souhlasu se zpracováním osobních údajů (R42, R43) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Musíte být schopni prokázat, že jste souhlas se zpracováním osobních údajů od občanů získal. Souhlas nesmí být součástí například obchodních podmínek. Musí být oddělen od ostatních ujednání. Informace ohledně souhlasu musí být sepsány jednoduchým jazykem, aby byly srozumitelné pro každého. Osobní údaje není možné využívat k jinému účelu, než k jakému jste je získali. |
Aktualizujte všechny formuláře, přes které získáváte souhlas se zpracováním. Místo jednoduchých používejte dvoukrokové tzv. double opt-in (Co je double opt-in). Stejně tak zrevidujte informace pro zákazníky o zpracování osobních údajů. Aby byly napsány srozumitelně a jednoduchým jazykem. Připravte interní směrnice ohledně souhlasu se zpracováním osobních údajů. Buďte připraveni prokázat, že jste souhlas získali – Nařízení nestanovuje přesnou formu. Stačí odpovědět na otázku „Tento kontakt dal, jaký souhlas, kde a kdy?“. |
Článek 8 - Souhlas se zpracováním osobních údajů dětí (R38) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Souhlas se zpracováním osobních údajů mohou dát pouze lidé starší 16 let. (Tato věková hranice bude nejspíš českým prováděcím zákonem upravena na 15 let.) U mladších bude vyžadován souhlas jejich zákonného zástupce. Je potřeba upravit formuláře tak, aby bylo možné souhlas zákonného zástupce udělit. |
Pokud cílíte na mladší, používejte filtry, které neumožní dětem přístup, dokud nebudete mít souhlas jejich zákonného zástupce. |
Článek 9 - Zpracování zvláštních kategorií osobních údajů (R51-R54) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Jestli to není nutné (z titulu vaší činnosti nebo na základě jiného právního předpisu), nezpracovávejte citlivé osobní údaje. Sem patří např. rasové, politické, náboženské, zdravotní a další. Jejich zpracování je podrobeno přísnějším podmínkám. |
Zrevidujte současné databáze, zda neobsahují zvláštní kategorie osobních údajů, případně by mohly být ze zpracovávaných osobních dat vyvoditelné. Pokud je pro svoji činnost nepotřebujete, odstraňte je. |
Článek 10 - Zpracování údajů týkajících se trestních řízení |
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
Zpracovávat osobní údaje, které se týkají rozsudků v trestních věcech, je možné pouze pod dozorem orgánů veřejné moci. |
Pokud zpracováváte takové osobní údaje, musíte to dělat pouze pod dozorem orgánů veřejné moci. |
Článek 11 - Jak zpracovávat osobní údaje bez identifikace (R57) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud zpracováváte osobní údaje, které neumožňují určit konkrétní fyzickou osobu, není potřeba zjišťovat další údaje kvůli tomu, abyste získali souhlas. Například získáte pouze emailovou adresu, ze které není možné identifikovat konkrétní osobu. Nemáte povinnost zjišťovat, o jakou osobu se jedná. Když vám dotyčný zavolá a chce své jméno doplnit, tak ho neodmítnete, ale doplníte dodané údaje. |
Sbírejte co nejvíc informací anonymně např. dotazníky, ankety apod. Jedná se sice o data, která zpracováváte, není však možné určit konkrétního člověka, tudíž se na ně nevztahuje Nařízení. |
Kapitola III. - Práva občanů
Článek 12 - Buďte transparentní ohledně toho, co děláte s daty (R39, R58-R60) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Buďte ke svým kontaktům, zájemcům a zákazníkům upřímní a průhlední. Jednoduchým a srozumitelným jazykem jim dejte vědět, proč jejich osobní údaje zpracováváte, a jak s nimi pracujete. Pokud chtějí vědět, jaké údaje o nich zpracováváte, musíte jim vyhovět a co nejrychleji jim odpovědět. Pokud by ale posílali svoji žádost opakovaně, můžete další odpovědi zpoplatnit. V případě, kdy máte podezření, že někdo chce registrovat osobní údaje jiného člověka, můžete požádat o dodatečnou identifikaci. |
Veškeré dokumenty, které píšete a budou sloužit pro lidi, musí být napsány tak, aby jim rozuměl každý. Nechte své texty přečíst nezaujaté osoby, abyste si ověřili, že jim rozumí opravdu každý. |
Článek 13 - Lidem při získávání osobních údajů musíte podat následující informace (R39, R58) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
U všech svých formulářů a dalších míst, které slouží pro registraci, umístěte následující informace:
|
Vytvořte jedno nebo více prohlášení o zpracování osobních údajů, které umístíte na svých webových stránkách a přidáte jako odkaz k formulářům na sběr osobních údajů. |
Článek 14 - Lidem při získávání osobních údajů musíte podat následující informace, i když jste osobní údaje nezískali přímo od nich (R39, R58) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
I když získáváte osobní údaje od někoho jiného, tak stále musíte mít k dispozici informace z článku 13 a navíc kontakt na správce dat. |
Vytvořte jedno nebo více prohlášení o zpracování osobních údajů, které umístíte na svých webových stránkách. |
Článek 15 - Lidé mají právo na přístup ke svým osobním údajům (R63) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Lidé se na vás mohou obracet s dotazem, jestli zpracováváte jejich osobní údaje a jaké konkrétně to jsou. Tyto informace jim musíte na základě jejich žádosti poskytnout. Dále musíte poskytnout následující informace:
V okamžiku, kdy tyto informace předáváte, nesmíte ohrozit žádné další osoby. |
Musíte být schopni odpovědět na všechny dotazy svých kontaktů, zákazníků a zajistit všechna jejich práva. Vytvořte si fiktivního zákazníka a zahrajte situaci, kdy on se ptá a vy odpovídáte, abyste byli připraveni na všechny nepříjemné dotazy. |
Článek 16 - Lidé mají právo na opravu (R39, R59) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
V okamžiku, kdy se na vás někdo obrátí a žádá opravu svých osobních údajů, jste povinni to udělat. |
Vytvořte si interní pravidla pro opravu osobních údajů. |
Článek 17 - Právo na výmaz (právo „být zapomenut“) (R65, R66) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud člověk požádá o výmaz svých osobních údajů, musíte být schopni to bez zbytečného odkladu udělat. Ale pouze za předpokladu, že vám další zpracování neukládá jiný právní předpis. Lidé mohou svůj souhlas se zpracováním odvolat. Případně mohou požádat o smazání, protože jejich osobní údaje byly použity i za jiným účelem, než ke kterému dali svůj souhlas. |
Vytvořte si interní pravidla pro výmaz osobních údajů. |
Článek 18 - Lidé mohou požádat o omezení zpracování (R67) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení vyjmenovává situace, při kterých může člověk požádat, aby zpracování jeho osobních údajů bylo pozastaveno do určité doby. |
Vytvořte si interní pravidla pro případ, kdy vás člověk požádá o omezení zpracování jeho osobních údajů. |
Článek 19 - Máte oznamovací povinnost v případě hromadných oprav, výmazu nebo omezení zpracování (R67) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud musíte provést hromadně nějakou úpravu zpracovávaných údajů, máte povinnost o tom dotčené osoby informovat. Ovšem pouze za předpokladu, že to nevyžaduje nepřiměřené úsilí. |
Připravte si scénář pro případ, kdy vás někdo kontaktuje, že nalezl problém se zpracováním svých osobních údajů, a vy na základě toho potřebujete udělat hromadnou úpravu i u ostatních. Určete si, jak to případně oznámíte všem. |
Článek 20 - Lidé mají právo na přenositelnost svých dat (R68) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Lidé se na vás můžou obrátit s dotazem, jaké údaje o nich zpracováváte. A požadovat, aby si je mohli přenést pod jiného správce. Musíte připravit takový datový soubor se všemi daty, které vám člověk poskytl. Takový soubor bude v běžně využívaném formátu a člověk ho může předat novému správci. |
Připravte funkci pro export dat, které o člověku máte. Případně zjistěte, jestli váš zpracovatel tuto možnost nabízí. |
Článek 21 - Lidé mají právo vznést námitku proti zpracování a profilování (R70) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Lidé mají právo vznést námitku proti zpracování osobních údajů nebo profilování. |
Pokud lidé vznesou námitku proti zpracování osobních údajů nebo profilování a nemáte k němu jiný právní důvod, musí být zpracování a profilování ukončeno. Informujte o tomto právu při první komunikaci s člověkem. |
Článek 22 - Automatizované individuální rozhodování (R71) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Lidé mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů nebo profilování. |
Pokud rozhodujete o svěřených datech automaticky, připravte systém lidské kontroly. |
Článek 23 – Omezení (R73) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Členské země EU mohou přijmout své zákony, které mění Nařízení, pro řadu případů jako je třeba národní bezpečnost, obranu, veřejnou bezpečnost a vyšetřování. |
Sledujte zákonnou úpravu Nařízení v České republice. |
Kapitola IV. - Správce a zpracovatel
Článek 24 - Odpovědnost správce (R78) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Správce je povinen zajistit taková technická a organizační opatření, aby zpracování osobních údajů probíhalo v souladu s Nařízením. Tato opatření je potřeba přezkoumat a upravovat podle potřeby. Zároveň musí být správce schopen tato opatření doložit. |
Přezkoumejte a upravte své interní předpisy související se zpracováním osobních údajů podle aktuální situace v podnikání. Například při uvedení nových produktů, nových kategorií osobních údajů ad. Zároveň evidujte záznamy o provedených školeních ohledně znalostí a dodržování Nařízení. |
Článek 25 - Záměrná a standardní ochrana osobních údajů (R74) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Správce je povinen zavést taková technická a organizační opatření, aby ochránil osobní údaje lidí. Mezi taková opatření patří „pseudonymizace“ nebo to, že budete zpracovávat pouze data nezbytná pro daný účel. Data nesmí být bez zásahu člověka dostupná komukoliv. |
Vzdělávejte své spolupracovníky o ochraně osobních údajů. Pracujte s osobními údaji na principu minimalizace – pro každou operaci využijte jenom data nezbytně nutná – a maximálně používejte šifrování dat. Chraňte data proti přístupu náhodných kolemjdoucích. |
Článek 26 - Společní správci
|
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud sdílíte osobní údaje i s dalšími správci, musíte se domluvit na odpovědnosti. |
Uzavřete smlouvy s dalšími společnými správci a vymezte si vzájemné odpovědnosti. |
Článek 27 - Zástupci správců nebo zpracovatelů neusazených v EU (R80) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud správce zpracovává osobní údaje občanů EU a nemá sídlo v EU, musí si najít svého zástupce, který má sídlo v EU. |
Jestli podnikáte mimo EU, najděte si v EU svého zástupce. |
Článek 28 – Zpracovatel (R81) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Služby, které využíváte (zpracovatelé), musí být kompatibilní s GDPR. Zpracovatel smí zpracovávat osobní údaje na základě pověření od správce pouze v takovém rozsahu, jaký stanoví správce. Zpracovatel nesmí bez souhlasu správce data ukládat v datových centrech mimo EU, dále je poskytovat třetím stranám, ani je jinak využívat pro své potřeby. Vzájemný vztah mezi správcem a zpracovatelem musí být řešen prostřednictvím smlouvy. |
Ujistěte se, že všichni zpracovatelé, kteří pracují s vašimi daty, jsou v souladu s GPDR. Většina služeb by nyní už měla mít na svých webových stránkách informace, že jsou v souladu s GDPR, případně je v nejbližší době zveřejnit. Vy se ve svých prohlášeních o zpracování osobních údajů na tyto stránky odkazujte. Zajistěte si smlouvu se zpracovateli. Evidujte všechny služby a zpracovatele, které využíváte, podrobnosti a kontakty na ně. |
Článek 29 - Zpracování z pověření správce nebo zpracovatele (R81) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Zpracovatel, který je pověřen správcem, může zpracovávat pouze taková data, která získal od správce a na jehož pokyn je zpracovává. |
Pokud nejste zpracovatel, tento článek se na vás nevztahuje. Pokud jste zpracovatel, nijak s pověřenými daty nespekulujte, nevytvářejte z nich žádné analýzy a nijak s nimi dále nepracujte nad rámec pověření. |
Článek 30 - Záznamy o činnostech zpracování (R82) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Jako správce musíte sledovat, co se děje s osobními údaji, které zpracováváte. Vést záznamy o činnostech zpracování. Tento článek se na vás ale nevztahuje, pokud máte méně něž 250 zaměstnanců a zpracování není vaší hlavní činností. |
Pokud máte povinnost vést záznamy o zpracování, seznamte se se všemi náležitostmi, které musí obsahovat, a veďte je. |
Článek 31 - Spolupráce s dozorovým úřadem |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud vás dozorový úřad požádá o spolupráci při plnění jeho úkolů, máte povinnost mu vyhovět. |
Ujistěte se, že máte zpracovány všechny kroky vztahující se k dodržování GDPR. Je dobré evidovat i stížnosti lidí pro případ kontroly ze strany dozorového úřadu. |
Článek 32 - Minimum, které musíte udělat pro bezpečnost dat (R83) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Správce i zpracovatel je povinen zajistit svá data způsobem odpovídajícím riziku, a to zejména pomocí:
|
Zaveďte vhodná a přiměřená bezpečnostní opatření. Zajistěte bezpečné uložení dat. Pravidelně bezpečnostní opatření prověřujte a vylepšujte. Připravte plány pro případ porušení bezpečnosti a úniku dat. |
Článek 33 - Ohlášení porušení zabezpečení dozorovému úřadu (R85) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
V okamžiku, kdy zjistíte, že došlo k porušení zabezpečení ochrany dat, jste jako správce povinen tuto skutečnost ohlásit do 72 hodin dozorovému úřadu. |
Připravte plán, podle kterého budete v případě porušení dat postupovat. Stanovte, kdo u vás bude za hlášení porušení odpovídat. |
Článek 34 - Ohlášení porušení zabezpečení lidem (R86) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud dojde k porušení zabezpečení a mohlo by mít za následek vysoké riziko pro práva občanů, je správce povinen je o tom informovat. A to bez zbytečného odkladu. |
Připravte plán, podle kterého budete postupovat v případě porušení ochrany dat. Připravte metodu, pomocí které budete tuto skutečnost oznamovat lidem. |
Článek 35 - Před novými projekty si připravte hodnocení dopadu na ochranu osobních údajů (R90, R91, R92) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Před tím, než spustíte nové projekty nebo služby, při kterých dojde ke zpracování osobních údajů, je potřeba zjistit, jaký to bude mít vliv na bezpečnost dat. Jaká data budete zpracovávat, jak budou zabezpečena, jak bude probíhat případné profilování. |
U každého nového projektu nebo služby vytvořte dokumentaci, jaký bude mít projekt vliv na ochranu osobních údajů. |
Článek 36 - Konzultace s dozorovým úřadem (R84, R94) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud z vámi připraveného posouzení vzejde vysoké riziko pro bezpečnost zpracovávaných osobních údajů, je potřeba toto konzultovat s dozorovým orgánem. Ten má na posouzení lhůtu 8 týdnů. |
Pokud tedy z posouzení vyjde zvýšené riziko pro ochranu osobních údajů, celou záležitost proberte s dozorovým úřadem. S dostatečným předstihem. Protože může lhůtu na vyřízení ještě prodloužit. |
Článek 37 - Jmenování pověřence pro ochranu osobních údajů (R97) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Nařízení určuje případy, ve kterých je správce a zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů (DPO). Například v situaci, kdy zpracováváte osobní údaje v rozsáhlém množství nebo je zpracování hlavní činností. Měl by být odborníkem na ochranu osobních údajů, znalost Nařízení, ale certifikace ani požadované odbornosti nejsou stanoveny. |
Určete, jestli vám z Nařízení plyne povinnost jmenovat pověřence osobních údajů (DPO). Pokud ano, může tuto funkci vykonávat v zaměstnaneckém poměru nebo na základě smlouvy o poskytování služeb. Pověřenec nesmí být v konfliktu zájmů. Pokud máte povinnost DPO, najděte si ho. |
Článek 38 - Postavení pověřence pro ochranu osobních údajů (R97) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
DPO musí být zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů. Ze strany správce a zpracovatele musí mít náležitou podporu a je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele. |
Zveřejněte ve svých prohlášeních o zpracování osobních údajů kontakt na svého DPO. DPO za vás komunikuje s dozorovým úřadem ve věcech ochrany osobních údajů a také s jednotlivými lidmi, kteří u Vás mají své údaje. |
Článek 39 - Úkoly pověřence pro ochranu osobních údajů (R97) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
DPO vás informuje o tom, jak zpracovávat osobní údaje v souladu s Nařízením. A to zejména formou:
|
Spolupracujte se svým DPO a poskytujte mu vhodné podmínky pro jeho práci. |
Článek 40 - Kodexy chování (R77, R81, R98) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Sdružení nebo jiné subjekty by měly vypracovat kodexy, jak zavést nařízení v rámci různých odvětví. Například Asociace malých a středních podniků spravuje portál GDPR bez obav. Tyto kodexy chování jsou dobrovolné. |
Zjistěte, jestli existují kodexy chování pro váš obor podnikání. Kodexy jsou dobrovolné, ale mohou vám pomoci s ochranou osobních údajů specifických pro váš obor podnikání. |
Článek 41 - Monitorování schválených kodexů chování |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Monitorovat a porovnávat soulad s kodexem chování mohou pouze subjekty, které jsou pro tento účel akreditované příslušným dozorovým úřadem. |
Pokud pro váš obor existuje kodex chování, pouze akreditovaný subjekt má právo rozhodnout, jestli jste s tímto kodexem ve shodě. |
Článek 42 - Vydávání osvědčení (R77, R81) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Sdružení a jiné subjekty mohou stanovit certifikáty, které jsou udělovány firmám, které jsou s příslušným kodexem v souladu. |
Zjistěte si, zda je k dispozici certifikace pro váš obor podnikání. |
Článek 43 - Subjekty pro vydávání osvědčení (R77, R81) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Certifikace musí být schváleny dozorovými orgány. |
Prověřte si, zda certifikace, o kterou usilujete je schválena příslušnými dozorovými orgány. |
Kapitola V. - Předávání osobních údajů do třetích zemí
Článek 44 - Obecná zásada pro předávání osobních údajů do třetích zemí (R101) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Obecně platí, že k jakémukoliv předání osobních údajů může dojít pouze tehdy, pokud jsou splněny podmínky stanovené v dalších nařízeních této kapitoly. |
Pokud se vás tato situace týká, připravte si proces pro předávání dat do třetích zemí. |
Článek 45 - Předání založené na rozhodnutí o odpovídající ochraně (R103, R104) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud chcete předávat osobní údaje do třetích zemí nebo mezinárodním organizacím, které zajišťují odpovídající úroveň ochrany dat, nepotřebujete k předání zvláštní povolení. |
Pokud se vás tato situace týká, připravte si proces pro předávání dat do třetích zemí. |
Článek 46 - Předání založené na vhodných zárukách (R104) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud přenesete data do třetí země, která není na seznamu dle předchozího článku, musí správce nebo zpracovatel poskytnout vhodné záruky týkající se bezpečnosti dat. |
Zjistěte si, jak daná země přistupuje k otázce bezpečnosti dat. |
Článek 47 - Závazná podniková pravidla (R108) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud společnost, která není usazena v EU a chce zpracovávat osobní údaje občanů EU, vytvoří vlastní závazná firemní pravidla odpovídající Nařízení, může ke zpracování dojít. Tato firemní pravidla musí být přísně dodržována, jinak by nebylo možné osobní údaje zpracovávat. |
Pokud plánujete spolupracovat nebo spolupracujete se společností mimo EU, zjistěte si, zda mají korporátní pravidla, která by jim umožnila být v souladu s GDPR. |
Článek 48 - Řešení mezinárodních sporů (R115) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Rozhodnutí soudu nebo správního orgánu třetí země, které po správci nebo zpracovateli požaduje předání osobních údajů, je možné pouze za předpokladu, že vycházejí z mezinárodních dohod. |
Neporušujte mezinárodní právo. |
Článek 49 - Výjimky pro specifické situace (R111) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Pokud v zemi, kam přenášíte data, neexistují žádná pravidla ani záruky, může k předání dojít pouze za předpokladu splnění podmínek definovaných v Nařízení, např.
|
Připravte si interní postup, jak budete postupovat v takovém případě. Jak získáte souhlas člověka s přenosem jeho osobních údajů do třetí země a jak ho budete informovat o možných bezpečnostních rizicích. |
Článek 50 - Mezinárodní spolupráce v oblasti |
|
CO ŘÍKÁ GDPR |
|
Dozorové úřady podniknou kroky ve vztahu k třetím zemím a mezinárodním organizacím k rozvoji mechanismů a vzájemné spolupráci na poli ochrany osobních údajů. Tyto kroky by – doufejme – měly usnadnit vaši práci. |
Kapitola VI. - Nezávislé dozorové úřady
Článek 51 - Dozorový úřad (R117-R122) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý členský stát EU je povinen stanovit jeden nebo více dozorových úřadů. Pro Českou republiku je to Úřad na ochranu osobních údajů https://www.uoou.cz/. |
Sledujte webové stránky Úřadu pro ochranu osobních údajů, kde v sekci GDPR – obecné nařízení najdete veškeré informace k tomuto Nařízení, dokumenty, odpovědi na nejčastější otázky a další. |
Článek 52 – Nezávislost (R117-R122) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý dozorový úřad jedná nezávisle. |
Nesnažte se uplatit dozorový úřad. 🙂 |
Článek 53 - Obecné podmínky pro členy dozorového úřadu |
|
CO ŘÍKÁ GDPR |
|
Každý člen dozorového orgánu bude jmenován parlamentem, vládou hlavou státu nebo nezávislým subjektem, který má k tomu pověření členského státu. |
Článek 54 - Zřízení dozorového úřadu |
|
CO ŘÍKÁ GDPR |
|
Každý členský stát upraví předpisem náležitosti zřízení dozorového úřadu, kvalifikaci a podmínky způsobilosti požadované pro jmenování člena, délku funkčního období ad. |
Článek 55 - Příslušnost |
|
CO ŘÍKÁ GDPR |
|
Každý dozorový úřad je na území svého členského státu kompetentní k plnění úkolů a výkonu pravomocí v souladu s tímto Nařízením. |
Článek 56 - Příslušnost vedoucího dozorového úřadu (R117-R122) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Dozorové úřady by měly řešit problémy týkající se zemí, ve kterých působí. V případě řešení přeshraničního zpracování je vedoucím dozorovým úřadem ten, ve kterém státě má správce hlavní provozovnu. V případě podání podnětu jinému dozorovému úřadu tento informuje vedoucí dozorový úřad, který určí, jestli se tímto podnětem bude zabývat. |
Přesto, že Nařízení platí ve všech zemích EU, veškeré problémy a dotazy směřujte na dozorový úřad své země, případně země, kde máte hlavní provozovnu. |
Článek 57 - Úkoly dozorového úřadu |
|
CO ŘÍKÁ GDPR |
|
Každý dozorový úřad vykonává celou řadu činností: sledování dodržování Nařízení, řešení stížností subjektů údajů, poskytování poradenství ad. |
Článek 58 - Pravomoci dozorového úřadu (R129) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý dozorový úřad má řadu vyšetřovacích pravomocí a správce i zpracovatel s ním má povinnost spolupracovat. Zejména při vyšetřování, auditech. Musíte mu umožnit přístup do svých prostor ad. Dozorový úřad má pravomoc vydávat stanoviska, schvalovat návrhy kodexů chování ad. |
Až (jestli) přijde čas, tak s dozorovým úřadem maximálně spolupracujte. |
Článek 59 - Zprávy o činnosti |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý dozorový úřad jedenkrát ročně připraví výroční zprávu o své činnosti, která může mimo jiné obsahovat i přehled všech ohlášených porušení Nařízení. |
Snažte se udělat vše pro to, abyste nebyli ve zprávě uvedeni. |
Kapitola VII. - Spolupráce a jednotnost
Článek 60 - Spolupráce mezi dozorovými úřady |
|
CO ŘÍKÁ GDPR |
|
Vedoucí dozorový úřad bude spolupracovat s dotčenými dozorovými úřady a vzájemně si budou vyměňovat potřebné informace. |
Článek 61 - Vzájemná pomoc |
|
CO ŘÍKÁ GDPR |
|
Dozorové úřady si budou vzájemně pomáhat a předávat informace týkající se dodržování Nařízení. |
Článek 62 - Společné postupy dozorových úřadů |
|
CO ŘÍKÁ GDPR |
|
Dozorové úřady budou provádět společné postupy při řešení incidentů. |
Článek 63 - Mechanizmus jednotnosti |
|
CO ŘÍKÁ GDPR |
|
Dozorové úřady ve spolupráci s Komisí budou Nařízení uplatňovat jednotně, prostřednictvím mechanismů uvedených v dalších článcích. |
Článek 64 - Stanovisko sboru |
|
CO ŘÍKÁ GDPR |
|
Sbor bude vydávat stanoviska k různým situacím jako novým pravidlům, kritériím kodexů chování a dalším, které budou chtít dozorové úřady přijmout. |
Článek 65 - Řešení sporů se sborem |
|
CO ŘÍKÁ GDPR |
|
Sbor se také bude věnovat řešení sporů mezi dotčenými dozorovými úřady a vedoucím dozorovým úřadem. |
Článek 66 - Postup pro naléhavé případy |
|
CO ŘÍKÁ GDPR |
|
V případech, kdy se bude dozorový úřad domnívat, že je potřeba v zájmu ochrany práv a svobod občanů přijmout nějaké opatření, může se odchýlit od běžných postupů a dočasně přijmout nezbytné opatření. |
Článek 67 - Výměna informací |
|
CO ŘÍKÁ GDPR |
|
To, jakým způsobem bude probíhat elektronická výměna informací mezi dozorovými orgány a Sborem bude určovat Komise prostřednictvím prováděcích aktů. |
Článek 68 - Evropský sbor pro ochranu osobních údajů |
|
CO ŘÍKÁ GDPR |
|
Každý členský stát, respektive vedoucí členové jejich dozorového úřadu budou společně s evropským inspektorem tvořit Evropský sbor. |
Článek 69 - Nezávislost |
|
CO ŘÍKÁ GDPR |
|
Sbor bude nezávislým orgánem, který od nikoho nepřijímá pokyny. |
Článek 70 - Úkoly Sboru |
|
CO ŘÍKÁ GDPR |
|
Sbor bude zajišťovat uplatňování Nařízení. Bude poskytovat poradenství Komisi, dozorovým úřadům, vydávat pokyny a doporučení, provádět akreditaci subjektů pro vydávání osvědčení ad. |
Článek 71 - Zprávy |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Jedenkrát ročně Sbor vypracuje výroční zprávu. Výroční zprávy budou kromě jiného obsahovat i posouzení praktického uplatňování pokynů, postupů závazných rozhodnutí. |
Seznamujte se s touto výroční zprávou, protože by mohla obsahovat zajímavé a užitečné informace pro praktické uplatňování Nařízení. |
Článek 72 - Postup |
|
CO ŘÍKÁ GDPR |
|
Sbor bude přijímat rozhodnutí prostou většinou, k odsouhlasení jednacího řádu bude potřeba souhlas více než dvou třetin členů. |
Článek 73 - Předseda |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Sbor si zvolí předsedu a dva místopředsedy, a to vždy na 5leté funkční období. |
Zjistěte si, kdo je aktuálně předsedou, a sledujte ho na Twitteru nebo Facebooku. Budete mít novinky z první ruky. |
Článek 74 - Úkoly předsedy |
|
CO ŘÍKÁ GDPR |
|
Předseda mimo jiné svolává jednání sborů, jejich pořad, oznamuje rozhodnutí přijatá sborem ad. |
Článek 75 - Sekretariát |
|
CO ŘÍKÁ GDPR |
|
Zajišťuje každodenní provoz Sboru. |
Článek 76 - Důvěrnost |
|
CO ŘÍKÁ GDPR |
|
V nezbytných případech je jednání sborů důvěrné. |
Kapitola VIII. - Právní ochrana, odpovědnost a sankce
Článek 77 - Právo podat stížnost u dozorového úřadu (R141) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý člověk, může podat stížnost k dozorovému úřadu, když má pocit, že jeho práva byla porušena. Od dozorového úřadu poté obdrží informace o projednání stížnosti a jejím výsledku. |
Máte povinnost informovat své zájemce a zákazníky o tom, že v případě potřeby mohou podat stížnost k dozorovému úřadu. Zaneste tedy tuto informaci do svého prohlášení o zpracování osobních údajů. Dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů. |
Článek 78 - Právo na soudní ochranu vůči dozorovému orgánu |
|
CO ŘÍKÁ GDPR |
|
Fyzické i právnické osoby mohou žalovat dozorový úřad v situaci, kdy mají pocit, že jejich případ nebyl vyřešen správně a dožadovat se svého práva soudní cestou. |
Článek 79 - Právo na soudní ochranu vůči správci nebo zpracovateli (R143, R145) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Občané EU, v případě, když mají pocit, že byla porušena jejich práva při zpracování osobních údajů, mohou žalovat správce nebo zpracovatele jejich osobních údajů. |
Mějte v paměti možnost, že budete plnění nařízení dokazovat před soudem. |
Článek 80 - Zastupování občanů (R142) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Občané EU mohou k zastupování u soudu využít služeb neziskové organizace nebo jiného sdružení, které se ochraně osobních údajů věnují. |
Prověřte si každou organizaci, která se na vás obrátí, a pokud je to nutné, spolupracujte. |
Článek 81 - Přerušení řízení |
|
CO ŘÍKÁ GDPR |
|
Pokud vás jako správce nebo zpracovatele zažalují lidé ve více členských státech a bude proti vám zahájeno více soudních řízení pro stejné porušení, mohou další soudy řízení přerušit. A řízení bude probíhat pouze u toho prvního. |
Článek 82 - Právo na náhradu újmy a odpovědnost (R146) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Každý, kdo v důsledku porušení Nařízení utrpí hmotnou nebo nehmotnou újmu, má právo od správce nebo zpracovatele na její náhradu. Správce je zodpovědný za újmu, kterou způsobí porušením tohoto Nařízení. Zpracovatel je zodpovědný za újmu, pokud přímo poruší Nařízení nebo jedná nad rámec toho, k čemu by správcem pověřen. Správce i zpracovatel se mohou odpovědnosti zprostit pouze za předpokladu, že prokáží, že nenesou odpovědnost za událost, která k újmě vedla. |
Dodržujte Nařízení a vybírejte si takové zpracovatele, kteří jsou v souladu s tímto nařízením. Je nezbytné mít se zpracovatelem uzavřenou zpracovatelskou smlouvu a v ní definované jednotlivé oblasti zpracování a ochrany osobních údajů. |
Článek 83 - Obecné podmínky pro ukládání správních pokut (R148-R152) |
|
|
CO ŘÍKÁ GDPR |
ÚKOLY PRO VÁS |
|
Správní pokuty za porušení Nařízení bude ukládat dozorový úřad podle každého jednotlivého případu a bude zohledňovat řadu okolností. Například závažnost porušení, povahu porušení, zda šlo o úmysl nebo nedbalost, jestli se správce nebo zpracovatel pokusil zmírnit dopady ad. Pokuty budou ukládány tak, aby byly účinné, přiměřené a odrazující. |
Při zpracování osobních údajů postupujte podle Nařízení, ať riziko sankcí co nejvíce omezíte. Buďte připraveni na případnou kontrolu ze strany dozorového úřadu. |
Článek 84 - Sankce |
|
CO ŘÍKÁ GDPR |
|
Členské státy stanoví pravidla pro jiné sankce, které v případě porušení Nařízení mohou uložit a nevztahují se na ně správní pokuty. Tyto sankce budou ukládány tak, aby byly účinné, přiměřené a odrazující. |
Kapitola IX. - Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování
Článek 85 - Zpracování a svoboda projevu a informací |
|
CO ŘÍKÁ GDPR |
|
Dozorové úřady nemohou narušovat svými pravidly svobodu projevu a informací, například pro novinářské účely, nebo pro účely akademického nebo literárního projevu. Pokud je to nutné, stanoví výjimky a odchylky pro zpracování pro novinářské účely, účely akademického, uměleckého a literárního projevu. Tyto odchylky a výjimky by se měly vztahovat zejména pro zpracování osobních údajů v audiovizuální oblasti a ve zpravodajských a tiskových archivech. |
Článek 86 - Zpracování a přístup veřejnosti k úředním dokumentům |
|
CO ŘÍKÁ GDPR |
|
Osobní údaje obsažené v úředních dokumentech mohou státní orgány zpřístupnit v souladu s právem EU nebo členského státu tak, aby byl zajištěn soulad mezi přístupem veřejnosti k úředním dokumentům a tímto Nařízením. |
Článek 87 - Zpracování národních identifikačních čísel |
|
CO ŘÍKÁ GDPR |
|
Členské státy mohou stanovit pravidla pro zpracování národních identifikačních čísel, a to pouze v závislosti na vhodných zárukách práv a svobod občanů. |
Článek 88 - Zpracování v souvislosti se zaměstnáním |
|
CO ŘÍKÁ GDPR |
|
Členské státy mohou stanovit přesnější pravidla ke zpracování osobních údajů zaměstnanců. Například kamerové systémy na pracovišti. |
Článek 89 - Zpracování v souvislosti s archivací ve veřejném zájmu |
|
CO ŘÍKÁ GDPR |
|
Zpracování osobních údajů za účelem archivace ve veřejném zájmu, pro účely vědeckého a historického významu je možné, ale pouze za předpokladu vhodných záruk práv a svobod občanů. Taková zpracování by měla být prováděna na principu minimalizace, to znamená archivovat pouze údaje nezbytně nutné. Využívat například pseudonymizaci a další opatření, aby nebyla porušena práva občanů. |
Článek 90 - Povinnost mlčenlivosti |
|
CO ŘÍKÁ GDPR |
|
Členské státy mohou stanovit zvláštní pravidla pro zpracování osobních údajů takovým správcům a zpracovatelům, jako jsou například orgány s povinností zachovávat služební tajemství nebo mají jiné povinnosti mlčenlivosti. |
Článek 91 - Zavedená pravidla pro církve a náboženská sdružení |
|
CO ŘÍKÁ GDPR |
|
Pokud mají církve nebo jiná náboženská sdružení stanovena vlastní pravidla pro ochranu osobních údajů, ta mohou i nadále platit, ale pouze za předpokladu, že budou uvedena do souladu s Nařízením. Tyto subjekty mohou mít i vlastní dozorový úřad, pokud splňuje znaky dozorového úřadu stanovenými tímto Nařízením. |
Kapitola X. - Akty v přenesené pravomoci a prováděcí akty
Článek 92 - Výkon přenesené pravomoci |
|
CO ŘÍKÁ GDPR |
|
Článek určuje situace, kdy je možné přijímat akty v přenesené pravomoci. |
Článek 93 - Postupy projednávání ve výboru |
|
CO ŘÍKÁ GDPR |
|
Komisi v její činnosti pomáhá výbor a to zejména v oblastech kontroly činnosti Komise. |
Kapitola XI. - Závěrečná ustanovení
Článek 94 - Zrušení směrnice 95/46/ES |
|
CO ŘÍKÁ GDPR |
|
Směrnice 95/46/ES se ke dni 25. 5. 2018 ruší. |
Článek 95 - Vztah ke směrnici 2002/58/ES |
|
CO ŘÍKÁ GDPR |
|
Toto Nařízení by se mělo použít na všechny záležitosti ochrany práv a svobod občanů při zpracování osobních údajů, na které se nevztahuje Směrnice o soukromí a elektronických komunikacích (2002/58/ES). Tato směrnice známá pod označením e-Privacy také prochází novelou, ale zatím nenabyla účinnosti. |
Článek 96 - Vztah k dříve uzavřeným dohodám |
|
CO ŘÍKÁ GDPR |
|
Mezinárodní dohody týkající se předávání osobních údajů do třetích zemí nebo mezinárodním organizacím zůstávají v platnosti. Ale pouze za podmínky, že byly uzavřeny před 24. 6. 2016 a jsou v souladu s právem EU. |
Článek 97 - Zprávy Komise |
|
CO ŘÍKÁ GDPR |
|
Komise bude připravovat každé 4 roky zprávu o hodnocení a přezkumu Nařízení. |
Článek 98 - Přezkum jiných právních aktů |
|
CO ŘÍKÁ GDPR |
|
Pokud budou existovat nesrovnalosti mezi Nařízením a jinými právními akty týkajícími se ochrany osobních údajů, Komise bude postupně tyto nesrovnalosti řešit. |
Článek 99 - Vstup v platnost a použitelnost |
|
CO ŘÍKÁ GDPR |
|
Nařízení se použije od 25. 5. 2018. |
Je to nálož
Obecné nařízení pro ochranu osobních údajů, které se na nás od 25. 5. 2018 hrne není žádný drobeček.
U nás v České republice máme naštěstí tu výhodu, že tady už nějaký pátek (je plnoletý) platí zákon č. 101/2000 Sb., o ochraně osobních údajů. V něm jsou podobné pojmy jako v Nařízení a když ho už teď dodržujete, máte skoro vyhráno. Stačí doladit pár drobností.
Další zajímavé články k GDPR
Včeliště: GDPR nekouše: 3 pádné důvody, proč se z ochrany osobních údajů nezblázníte
Shoptet: GDPR checklist
5 kroků ke GDPR pro blogery, marketéry a digitální podnikatele
Na závěr jenom připomínám, že nejsme právníci ani se na GDPR nespecializujeme. Jenom ho sami řešíme pro nástroj Clipsan.com, který blogerům a digitálním podnikatelům pomáhá s marketingem a prodejem.
Jaké jsou vaše poznatky z GDPR?
Napište je do komentářů a klidně přidejte i odkazy na zajímavé zdroje.
Václav Krajňák
Velmi pěkně zpracováno, Děkuji.