Vybraná právní ustanovení GDPR

Získejte přehled o nařízení GDPR a objevte naše technická opatření pro GDPR.

Definice pojmů

  • subjekt údajů – identifikovaná fyzická osoba či fyzická osoba, kterou lze přímo či nepřímo identifikovat zejm. odkazem na určitý identifikátor (jméno, identifikační číslo, lokační údaje, síťový identifikátor, jeden či více zvláštních prvků fyzické, fiziologické, genetické psychické, ekonomické, kulturní nebo společenské identity)
  • osobní údaje – veškeré informace o identifikované či identifikovatelné fyzické osobě
  • zpracování – jakákoliv operace či soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
  • pseudonymizace – zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě
  • správce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů
  • zpracovatel – fyzická nebo právnická osoba, orgán veřejné moc, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
  • souhlas subjektu údajů – jakýkoli svobodný, konkrétní, innformovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracovávání svých osobních údajů
  • dozorový úřad – nezávislý orgán veřejné moci zřízený členským státem EU

Zásady

Zásady zpracování (§5)

Osobní údaje musí být

  • zpracovávány zákonně, korektně a transparentně
  • shromažďovány pro určité, výslovně vyjádřené a legitimní účely (účelové omezení)
  • přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu zpracování (minimalizace údajů)
  • uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je pro účely zpracování nezbytné

Zákonnost zpracování (§6)

Zpracování je zákonné pouze při splnění nejméně jedné z těchto podmínek a pouze v odpovídajícím rozsahu:

  • subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů;
  • zpracování je nezbytné pro splnění právní povinnosti, které se na správce vztahuje;
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  • zpracování je nezbytné pro splnění úpkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Podmínky vyjádření souhlasu (§7)

  • Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas.
  • V písemném prohlášení musí být souhlas předložen odděleně od jiných skutečností.
  • Subjekt údajů má právo svůj souhlas kdykoli odvolat stejně snadným způsobem, jako jej bylo snadné poskytnout.

Podmínky použitelné na souhlas dítěte (§8)

  • V případě služeb informační společnosti je písemný souhlas se zpracováním osobních údajů platný u dětí ve věku nejméně 16 let. Hranici si mohou členské státy EU snížit, ne však níže než a 13 let.
  • U mladších dětí je zpracování zákonné pouze tehdy, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

Zpracování zvláštních kategorií osobních údajů (§9)

Zvláštní pravidla stanovuje nařízení při zpracovávání těchto osobních údajů:

  • o rasovém či etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech;
  • genetických či biometrických údajů za účelem jedinečné identifikace fyzické osoby;
  • o zdravotním stavu, sexuálním životě nebo sexuální orientaci.

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů (§10)

  • Zpracování osobních údajů týkajících se rozsudů v trestních věcech a trestných činů či souvisejících bezpečnostních opatření se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva EU nebo členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektu údajů.
  • Jakýkoli souhrnný rejstřík trestů může být veden pouze pod dozorem orgánu veřejné moci.

Práva a povinnosti

Právo subjektu údajů na přístup k osobním údajům (§15)

  • Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo záskat přístup k těmto osobním údajům a k následujícím informacím:
    • kategorie dotčených osobních údajů;
    • účely zpracování, příjemci nebo kategorie příjemců, kterým byly nebo budou údaje zpřístupněny;
    • plánovaná doba, po kterou budou osobní údaje uloženy;
    • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů

Právo na opravu (§16)

  • Subjekt údajů má právo na to, aby správce bez zbytečného dokladu opravil nepřesné osobní údaje, které se ho týkají.

Právo na výmaz („právo být zapomenut“) (§17)

  • Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
    • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
    • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování;
    • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
    • osobní údaje byly zpracovány protiprávně;
    • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu EU nebo členského státu;
    • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

Odpovědnost správce (§24)

  • Správce zavede vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.

Záměrná a standardní ochrana osobních údajů (§25)

  • Správce zavede jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž účelem je provádět zásady ochrany údajů jako je minimalizace údajů a začlenit do zpracování nezbytné záruky, aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.
  • Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejmnéna zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Zpracovatel (§28)

  • Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
  • Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce.

Záznamy o činnostech zpracování (§30)

  • Správce vede záznamy o činnostech zpracování, za něž odpovídá, včetně popisu technických a bezpečnostních opatření dle §32.
  • Každý zpracovatel vede záznamy o činnostech zpracování, za něž odpovídá; včetně popisu technických a bezpečnostních opatření dle §32.
  • Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu.
  • Správce a zpracovatel poskytne záznamy na požádání dozorového úřadu.
  • Subjekty zaměstnávající méně než 250 mají z uvedených povinností výjimku, vyjma případů kdy zpracování:
    • Pravděpodobně představuje riziko pro práva a svobody subjektů údajů.
    • Zpracování není příležitostné.
    • Zpracovávají se zvláštní kategorie údajů dle §9 a §10.

Zabezpečení zpracování osobních údajů §32

  • Nařízení vyžaduje od správců i zpracovatelů soulad s povinnostmi pro zabezpečení zpracování.
  • Technická a organizační opatření jsou zejména:
    • pseudonymizace a šifrování osobních údajů;
    • zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování;
    • schopnost včas obnovit dostupnost v případě fyzických či technických incidentů;
    • proces pravidelného testování, posuzování a hodnocení účinnosti těchto opatření.
  • Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, jednající z pověření mající přístup k osobním údajům, zpracovávala tyto údaje pouze na pokyn správce.

Ohlašování incidentů

Ohlašování případů porušení dozorovému úřadu (§33)

  • Správce je povinen bezodkladně ohlásit jakéholi porušení zabezpečení osobních údajů dozorovému úřadu, nejpozději do 72 hod., vyjma nepravděpodobnosti následku rizika pro práva a svobody fyzických osob.
  • Zpracovatel je povinen bezodkladně ohlásit porušení zabezpečení osobních údajů správci.
  • Správce dokumentuje všechny případy porušení včetně skutečností týkající se daného porušení, a dále účinky a nápravná opatření; dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

Oznamování případů porušení subjektu údajů (§34)

  • Pokud je pravděpodobném, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů, vyjma případů: 
    • kdy je zavedeno opatření šifrování dat, která činí tyto údaje nesrozumitelnými pro neoprávněné osoby;
    • kdy správce přijal opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví;
    • kdy by to vyžadovalé nepříměřené úsilí; v takovém případě musí být subjekty údajů informovány tehdy lze nahradit veřejným oznámením.

Náhrady a sankce

Právo na náhradu újmy a odpovědnost (§82)

  • Kdokoli v důsledku porušení nařízení utrpí hmotnou či nehmotnou újmu, má právo obdržet od správce a zpracovatele náhradu utrpěné újmy.

Ukládání správních pokut (§83)

  • Dozorový úřad zajistí, aby ukládání pokut bylo v každém jednotlivém případě účinné, přiměřené a odrazující.
  • Při ukládání správních pokut se zohledňuje mj. povaha, závažnost a délka trvání porušení, úmysl vs. nedbalost, nápravné kroky, spolupráce s dozorovým úřadem apod.
  • Za porušení povinnosti správce a zpracovatele lze uložit pokutu až do výše 10 milionů EUR nebo u podniku až do výše 2 % celkového ročního obratu celosvětově.
  • Za porušení základních zásad zpracování, porušení práva subjektu údajů, předání osobních údajů třetí zemi nebo mezinárodní organizaci lze uložit pokutu až do výše 20 milionů EUR nebo u podniku až do výše 4 % celkového ročního obratu celosvětově.
  • Za nesplnění příkazu dozorového úřadu lze uložit pokutu až do výše 20 milionů EUR nebo u podniku až do výše 4 % celkového ročního obratu celosvětově.

Právní poučení: Tento přehled zjednodušeně informuje o nařízení GDPR a jeho klíčových ustanoveních. Nelze jej proto považovat za dostatečný pro stanovení vašich případných práv a povinností. Výše uvedený přehled je dílem společnosti business communication s.r.o., bez jejíhož písemného souhlasu není dovoleno text šířit, ani bezúplatně.

Celé nařízení GDPR

Nařízení GDPR si můžete stáhnout na oficiálních stránkách Evropského parlamentu: