• Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), kterým se ruší směrnice 95/46/ES.
• Účinnost od 25. 5. 2018
• Nejkomplexnější soubor pravidel na ochranu dat
• Novela zákona č. 101/2000 Sb., o ochraně osobních údajů – procesní norma, novelizace

• Všechny firmy a organizace v EU, které nabízí zboží a služby rezidentům EU a při své činnosti zpracovávají osobní údaje, na veškeré orgány státní moci a samosprávy.
• Zpracování osobních údajů – jakákoli operace (i automatizovaná) spočívá ve shromažďování, ukládání, strukturování, vyhledávání či výmazu.
• Sankce: dnes 10 mil. Kč x nově až 10/20 mil. Eur, resp. 2/4% z celosvětového obratu.

• Úmysl x nedbalost
• Závažnost a délka porušení s přihlédnutím k povaze, rozsahu, účelu zpracování
• Počet poškozených FO
• Vzniklá škoda
• První nebo opakované porušení
• Součinnost s dozorovým orgánem
• Opatření k nápravě – technická, personální
• Pozdní začátek přípravy na GDPR
• Nejmenování pověřence na ochranu osobních údajů

,, veškeré informace o identifikované fyzické osobě, identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“ .

Jednotlivé prvky

• Jméno
• Pohlaví
• Věk a datum narození
• Osobní stav
• Občanství
• IP adresa
• Fotografický údaj

• Pracovní nebo osobní adresa
• Pracovní nebo osobní telefonní číslo
• Pracovní nebo osobní e-mail
• Ověřovací identifikační údaje
• Identifikační čísla vydaná státem

Speciální kategorie osobních údajů, které vypovídají o:

• rasovém či etnickém původu
• politických názorech
• náboženském nebo filozofickém vyznání
• členství v odborech
• zdravotním stavu
• sexuální orientaci
• trestních deliktech či pravomocném odsouzení
• genetických a biometrických údajích
• osobních údajích dětí

• Osobní údaje vztahující se ke zděděným nebo získaným genetickým charakteristikám
• Poskytují jedinečné informace o fyziologii nebo zdraví
• Vyplývající z analýzy biologického vzorku

• Osobní údaje vyplývající z konkrétního technického zpracování
• Vztahující se k fyzickým, fyziologickým nebo behaviorálním charakteristikám
• Ty, které dovolují nebo potvrzují jedinečnou identifikaci
• Například snímky obličeje nebo daktyloskopické údaje

• Zákonnost, korektnost, transparentnost
• Pouze pro daný účel
• Právní titulky k nakládání s osobními údaji:
• Souhlas: vědomý, svobodný, konkrétní
  NE předvyplněná políčka
• Plnění smlouvy
  NE souhlas vložit do smlouvy
• Právní povinnost(např. zaměstnavatel)
• Veřejný zájem (např. policie)

• Zákonnost, spravedlivost a transparentnost vůči subjektu dat
• Shromáždění pro určité, výslovně vyjádřené a legitimní účely
• Minimalizace údajů
• Přesnost údajů a aktuálnost dat
• Omezení uložení
• Integrita a důvěrnost
• Odpovědnost

• Automatizované zpracování
• Manuální zpracování
• Data jsou obsažena v evidenci nebo do ní mají být zařazena

Výjimky:

• Při výkonu činností, které nespadají do působnosti práva EU (např. aktivity v rámci národní bezpečnosti)
• Kontrola hranic, azylové a imigrační řízení, veřejná bezpečnost
• Zpracování fyzickou osobou v rámci osobních a domácích činností
• Příslušnými orgány za účelem vyšetřování a odhalování trestných činů

Musí být splněna aspoň 1 z podmínek :

• Souhlas
• Smlouva
• Právní povinnost
• Životně důležité zájmy subjektu dat
• Veřejný zájem
• Oprávněné zájmy správce

• Správce = FO/PO, která určuje účel a způsob zpracování
• Zpracovatel = FO/PO, která zpracovává osobní údaje jménem správce – typicky poskytovatel služeb: mzdová agenda, IT a cloudové služby
• Stávající pravidla – nejsou povinnosti pro zpracovatele, plná odpovědnost správce
• Nová pravidla – správce i zpracovatel přímá odpovědnost za řádné zpracování osobních údajů

• Zabezpečení osobních údajů – porušení ochrany dat musí být oznámeno do 72 hodin – ÚOOÚ + FO (např. hackerský útok na zabezpečení bankovních hesel)
• Vnitřní předpisy – kodexy chování, záznamy o činnostech, pověřenec, školení zaměstnanců, kontrola
• Nastavení technických opatření – např. šifrování dat, pseudonimizace (nahrazení jména číslem)
• Oznámení není nutné, pokud by porušení zabezpečení OÚ pravděpodobně nemělo za následek riziko pro práva a svobody FO
• Vést záznamy o činnostech zpracování – povinnost pouze pro firmy zaměstnávající nad 250 osob, pokud jejich hlavní činnost není zpracovávání OÚ
• Posouzení vlivu na ochranu OÚ – před zahájením zpracování + pravděpodobnost vysokého rizika pro práva a svobody FO (možnost konzultace s ÚOOÚ)
• systematické a rozsáhlé vyhodnocování osobních aspektů FO založené na automatizovaném zpracování
• rozsáhlé systematické monitorování
• typické telekomunikační společnosti, dodávky energií, nemocnice atd.  
• pověřenec pro ochranu OÚ – výkladové stanovisko ÚOOÚ
  • Povinnost jmenovat pověřence platí pro orgány státní správy, samosprávy a jejich organizací – (metodika Ministerstva vnitra), profesionální zpracovatele dat, nebo zpracovatele citlivých dat např. nemocnice
  • Hlavní činnosti správce spočívají v operacích zpracování, které kvůli povaze, rozsahu nebo účelům vyžadují rozsáhlé pravidelné a systematické monitorování FO (fyzických osob)
• úkoly pověřence: poskytování informací a poradenství, monitorování souladu s GDPR, odborná příprava pracovníků spolupráce s ÚOOÚ

Práva subjektů osobních údajů jsou výrazně posílena

1. Přístup
2. Oprava
3. Výmaz a ´´právo být zapomenut´´
4. Omezení zpracování
5. Přenositelnost údajů
6. Vznést námitku

Vztahuje se na všechny osobní údaje včetně tzv. nestrukturovaných, tj. uložených např. v přílohách e-mailu, na různých uložištích.

Toto právo může být ze strany nespokojených zákazníků nebo zaměstnanců zneužíváno!

OZNÁMENÍ (PRIVACY NOTICE) – měl by upravovat postup, jakým může subjekt osobních údajů uplatnit svoje práva.

Zajištění shody s GDPR proto vyžaduje komplexní přístup. Nabídka služeb v rámci implementace GDPR pravidel se skládá z jednotlivých na sebe navazujících fází. S ohledem na skutečnost, že se aplikace GDPR pravidel dotkne celé organizace jako celku s výrazným dopadem na řadu interních činností a procesů, tak i tato nabídka vychází z nutnosti zapojení týmu expertů, kteří budou aplikaci pravidel nařízení řídit ve spolupráci s vrcholným managementem dané společnosti.

1. Definice rozsahu posuzování
2. Analýza stávajícího stavu zpracování osobních údajů
3. Příprava projektových záměrů a harmonogramu implementace
4. Realizace projektových záměrů