GDPR zavádí jednotný souhrn pravidel pro právnické i fyzické osoby v Evropské unii. Všechny subjekty tak mají následující práva:
Právo nositele osobních údajů
Ustanovení GDPR
1. Právo vědět jaká data jsou zpracovávána, jak jsou zpracovávána a sdílena a právo získat kopii takových osobních údajů
čl. 15
2. Právo “být zapomenut”, tj. vymazání dat v případě, kdy zákon neumožňuje jejich retenci
čl. 17
3. Právo opravení nesprávně uvedeného osobního údaje
čl. 16
4. Právo vzít zpět udělený souhlas se zpracováním dat
čl. 7 odst. 3
5. Právo na přenos dat
čl. 20
6. Právo na omezení zpracování učitých osobních údajů
čl. 18
7. Právo vznést námitku proti zpracování
čl. 21
8. Právo stěžovat si na tzv. přeprodávání osobních údajů a právo na upuštění od takové činnosti
čl. 21
9. Právo nebýt podroben automatickému rozhodování o své žádosti pouze na základě shromážděných osobních údajů
čl. 22
10.Právo žalovat na náhradu škody při porušení ustanovení tohoto nařízení
čl. 82
Kromě stanovení práv jednotlivců zavádí GDPR také řadu povinností na subjekty, které s osobními údaji nakládají (právnické či fyzické osoby). Tyto povinnosti určují způsob, jakým mohou být data zpracovávána a účely, za jakými tak může být činěno.
Konkrétně kapitola 4. GDPR je věnována povinnostem schovatelů a zpracovatelů osobních údajů. Zvlášní pozornost by měla být věnována ochraně údajů obecně stanovené čl. 25, podle kterého jsou společnosti povinny zavést taková opatření (jako anonymizaci či pseudonymizaci, minimalizaci dat, apod.), která zajistí jejich maximální ochranu. Navíc, pokud společnosti outsourcují zpracování informací jiné společnosti, vztahuje se na toto ustanovení čl. 28, které upravuje vztah mezi společností a jejím smluvním partnerem, vystupují-li jako shromažďovatelé a zpracovávatelé osobních údajů.
Články 34 a 35 GDPR zavazují společnosti k informování Úřadu pro ochranu osobních údajů o případných únicích osobních údajů.
Pokud jádro činností společnosti spočívá v úkonech, které svou povahou, rozsahem či účelem vyžadují pravidelné a systematické monitorování jejích zákazníků ve velkém měřítku, musí taková společnost podle čl. 37 mít Pověřence pro ochranu osobních údajů (DPO). Postavení a úkoly DOP jsou upraveny články 38 a 39. Úloha DPO je poradní, vystupuje tedy jako poradce a dohled nad dodržováním povinností. Nejsou-li tyto povinnosti plněny, nejde o jeho osobní odpovědnost, nýbrž o odpovědnost samotné společnosti a jejích statutárních orgánů.
Navíc, zásada přičitatelnosti stanovuje, že podniky musí být na výzvu připraveny prokázat, že jednají v souladu s GDPR. Učinit tak lze několika způsoby. Články 40 a 41 upravují pravidla chování a jejich monitorování. Pravidla chování jsou dobrovolná, ale mohou být použita k prokázání souladnosti postupů s GDPR. Také mohou sloužit jako určitá pojistka při přesunu dat mezi zpracovateli z EU zpracovatelům z nečlenských zemí, kteří se tak smluvně zavážou přijmout náležitá ochranná opatření a respektovat práva subjektů osobních údajů. Tentýž mechanismus se uplatní na certifikace, pečetě ochrany dat a známky.
GDPR je založeno na ktitériu rizikovosti. Čím větší riziko je spojeno s činností zpracovatele, tím přísnější musí splňovat podmínky a dodržovat povinnosti. Zmíněná rizika by však měla být za každých okolností pokud možno minimalizována nebo eliminována. Článek 30 zavazuje společnosti k vedení záznamů o všech aktivitách zpracování osobních dat a zpřístupnit tyto záznamy komisaři pro ochranu osobních dat, pakliže o to bude žádat. Tato povinnost se nevztahuje na malé a středně velké podniky, společnosti s méně než 250 zaměstnanci, pokud hlavním předmětem jejich činnosti nejsou právě osobní údaje.
Převody dat do třetích zemí mohou být prováděny na základy zvážení Evropské Komise, zda právě tato země zajišťuje adekvátní ochranu osobních údajů. Takové přesuny dat nevyžadují předchozí schválení. Pokud Komise ještě k dotčené zemi nezaujala stanovisko, může být přenos dat uskutečněn za poskytnutí dostatečných záruk smluvní povahy podle smluvních vzorů poskytnutých Komisí, schválených způsobů chování nebo osvědčených postupů s právně vynutitelnými závazky. Týká-li se přenos dat občanů hned několika členských států, může být rovněž založen na smluvních ujednáních schválených DPA. Ve specifických situacích mohou být přenosy uskutečněny na základě ustanovení čl. 49, tedy mohou záviset na souhlasu, záruce nebo plnění ze smlouvy a jeho vymahatelnosti.
GDPR zavádí jednotný souhrn pravidel pro právnické i fyzické osoby v Evropské unii. Všechny subjekty tak mají následující práva:
Kromě stanovení práv jednotlivců zavádí GDPR také řadu povinností na subjekty, které s osobními údaji nakládají (právnické či fyzické osoby). Tyto povinnosti určují způsob, jakým mohou být data zpracovávána a účely, za jakými tak může být činěno.
Konkrétně kapitola 4. GDPR je věnována povinnostem schovatelů a zpracovatelů osobních údajů. Zvlášní pozornost by měla být věnována ochraně údajů obecně stanovené čl. 25, podle kterého jsou společnosti povinny zavést taková opatření (jako anonymizaci či pseudonymizaci, minimalizaci dat, apod.), která zajistí jejich maximální ochranu. Navíc, pokud společnosti outsourcují zpracování informací jiné společnosti, vztahuje se na toto ustanovení čl. 28, které upravuje vztah mezi společností a jejím smluvním partnerem, vystupují-li jako shromažďovatelé a zpracovávatelé osobních údajů.
Články 34 a 35 GDPR zavazují společnosti k informování Úřadu pro ochranu osobních údajů o případných únicích osobních údajů.
Pokud jádro činností společnosti spočívá v úkonech, které svou povahou, rozsahem či účelem vyžadují pravidelné a systematické monitorování jejích zákazníků ve velkém měřítku, musí taková společnost podle čl. 37 mít Pověřence pro ochranu osobních údajů (DPO). Postavení a úkoly DOP jsou upraveny články 38 a 39. Úloha DPO je poradní, vystupuje tedy jako poradce a dohled nad dodržováním povinností. Nejsou-li tyto povinnosti plněny, nejde o jeho osobní odpovědnost, nýbrž o odpovědnost samotné společnosti a jejích statutárních orgánů.
Navíc, zásada přičitatelnosti stanovuje, že podniky musí být na výzvu připraveny prokázat, že jednají v souladu s GDPR. Učinit tak lze několika způsoby. Články 40 a 41 upravují pravidla chování a jejich monitorování. Pravidla chování jsou dobrovolná, ale mohou být použita k prokázání souladnosti postupů s GDPR. Také mohou sloužit jako určitá pojistka při přesunu dat mezi zpracovateli z EU zpracovatelům z nečlenských zemí, kteří se tak smluvně zavážou přijmout náležitá ochranná opatření a respektovat práva subjektů osobních údajů. Tentýž mechanismus se uplatní na certifikace, pečetě ochrany dat a známky.
GDPR je založeno na ktitériu rizikovosti. Čím větší riziko je spojeno s činností zpracovatele, tím přísnější musí splňovat podmínky a dodržovat povinnosti. Zmíněná rizika by však měla být za každých okolností pokud možno minimalizována nebo eliminována. Článek 30 zavazuje společnosti k vedení záznamů o všech aktivitách zpracování osobních dat a zpřístupnit tyto záznamy komisaři pro ochranu osobních dat, pakliže o to bude žádat. Tato povinnost se nevztahuje na malé a středně velké podniky, společnosti s méně než 250 zaměstnanci, pokud hlavním předmětem jejich činnosti nejsou právě osobní údaje.
Převody dat do třetích zemí mohou být prováděny na základy zvážení Evropské Komise, zda právě tato země zajišťuje adekvátní ochranu osobních údajů. Takové přesuny dat nevyžadují předchozí schválení. Pokud Komise ještě k dotčené zemi nezaujala stanovisko, může být přenos dat uskutečněn za poskytnutí dostatečných záruk smluvní povahy podle smluvních vzorů poskytnutých Komisí, schválených způsobů chování nebo osvědčených postupů s právně vynutitelnými závazky. Týká-li se přenos dat občanů hned několika členských států, může být rovněž založen na smluvních ujednáních schválených DPA. Ve specifických situacích mohou být přenosy uskutečněny na základě ustanovení čl. 49, tedy mohou záviset na souhlasu, záruce nebo plnění ze smlouvy a jeho vymahatelnosti.
-
Add a note