Lexikon GDPR

Nařízení Evropského parlamentu a rady 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, (dále jen GDPR) – General Data Protection Regulation) stanovuje jednotný systém ochrany osobních údajů v rámci celé EU. 24. dubna 2019 vstoupil v účinnost zákon č. 110/2019 Sb., o zpracování osobních údajů, který zrušil dosavadní právní úpravu ochrany osobních údajů tj. zákon č. 101/2000 Sb., o ochraně osobních údajů. Současně je účinný i změnový zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Nařízení GDPR se skládá z Preambule obsahující recitály, tj. ustanovení předcházející vlastnímu nařízení. Recitály jsou výkladem a do jisté míry důvodovou zprávou k vlastnímu nařízení GDPR.

GDPR je přímo aplikovatelný předpis EU na který navazuje adaptační zákon č. 110/2019 Sb., o zpracování osobních údajů, který provádí povolené lokální odchylky. Právní rámec ochrany osobních údajů tedy tvoří nařízení GDPR a adaptační zákon.

Na koho se vztahuje GDPR?

V České republice se GDPR dotkne více než 1 000 000 firem.Vztahuje se na každou právnickou i fyzickou osobu, která provádí zpracování osobních údajů. To je:

1. každý zaměstnavatel,
2. každý provozovatel e-shopu – v objednávkách zpracovává osobní údaje zákazníků,
3. každý spolek minimálně z důvodu evidence svých členů,
4. každá firma nebo živnostník, kteří nejsou zaměstnavateli, který zpracovává jakékoliv osobní údaje zákazníků
5. každá obec.

GDPR se nevztahuje

1. na fyzické osoby, které zpracovávají osobní údaje výlučně pro osobní či domácí činnost – fotografie své rodiny, kontakty v mobilním telefonu apod.
2. na zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
3. na osobní údaje zesnulých osob.
4. na anonymní informace, tj. informace, které se netýkají identifikované či identifikovatelné fyzické osoby, ani na osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným.
5. na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti
   působnosti práva Unie.

Účinnost

GDPR je účinné od 25. května 2018.

Sankce

Za porušení GDPR hrozí pokuta až do výše 20 000 000 EUR, nebo 4 % z obratu firmy. Volí se vyšší z obou variant.

Pracovní skupina WP 29

Pracovní skupina 29 byla ustanovena na základě čl. 29. směrnice 95/46/EC. Je to nezávislý poradní orgán na ochranu dat a soukromí EU. Je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie. Účinností GDPR od 25. května 2018 se přetransformuje na EPDB, tj. Evropský sbor pro ochranu osobních údajů. Jeho úkolem bude hlavně zajišťování jednotného uplatňování GDPR a vydávání pokynů,doporučení a osvědčených postupů.

• Pojmy a definice GDPR
• Zásady zpracování osobních údajů
• Právní důvody pro zpracování osobních údajů
• Souhlas se zpracováním osobních údajů
• Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
• Podmínky vyjádření souhlasu se zpracováním osobních údajů
• Odvolání souhlasu se zpracováním osobních údajů
• Platnost souhlasu uděleného před účinností GDPR
• Osobní údaje
• Zvláštní kategorie osobních údajů
• Použití již zveřejněných osobních údajů
• Informační povinnost správce vůči subjektu údajů
• Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
• Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
• Přístup k osobním údajům
• Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném rozhodování
• Právo být zapomenut
• Právo na přenositelnost údajů
• Zaměstnavatel a zpracování osobních údajů
• Správce
• Hlavní povinnosti správce
• Zpracovatel
• Zpracovatelská smlouva
• Zabezpečení osobních údajů
• Porušení zabezpečení osobních údajů
• Pověřenec pro ochranu osobních údajů
• Postavení pověřence pro ochranu osobních údajů
• Úkoly pověřence pro ochranu osobních údajů
• Záznamy o činnostech zpracování
• Posouzení vlivu na ochranu osobních údajů
• Kodex chování a osvědčení
• Transparentnost a postupy
• Práva subjektů údajů
• Právo subjektu údajů na transparentní informace
• Právo subjektu údajů na informace
• Právo subjektu údajů na přístup k osobním údajům
• Právo subjektu údajů na opravu
• Právo subjektu údajů být zapomenut
• Právo subjektu údajů na omezení zpracování
• Právo na oznámení při opravě nebo výmazu údajů nebo při omezení zpracování
• Právo na přenositelnost údajů
• Právo vznést námitku
• Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném rozhodování
• Pracovní skupina WP29
• Pravidelné a systematické monitorování
• Profilování
• Pseudonymizace
• Zpracování osobních údajů prováděné ve velkém rozsahu
• Služba informační společnosti
• Bezpečnost práce, požární ochrana a GDPR
• Monitorování zaměstnanců a GDPR
• Výpis z rejstříku trestů a GDPR
• Osobní údaje o zdravotním stavu
• Zesnulé osoby a GDPR
• Balanční test
• Předávání osobních údajů do třetích zemí – ciziny