Základní pojmy

 

GDPR (General Data Protection Regulation) neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů, potažmo jejich přenosem a sdílením je nová legislativa, přinášející zásadní posílení ochrany osobních údajů a řadu nových povinností nebo změny stávajících povinností pro všechny správce a zpracovatele. GDPR se dotkne v různé míře všech podnikajících subjektů.

 

GDPR bylo přijato 27. 4. 2016 a bude účinné od 25. 5. 2018.

Nejedná se o právo absolutní, ale musí být v rovnováze s dalšími právy

GDPR nahrazuje dosud platný zákon č. 101/2000 Sb.

GDPR platí v celé EU

Kontrolní orgán v ČR – ÚOOÚ  Úřad pro ochranu osobních údajů

 

Koho se GDPR týká?

GDPR se týká všech firem, institucí a organizací, které zpracovávají a uchovávají jakákoli osobní data.

Nařízení nedopadá na:

 • fyzické osoby, které zpracovávají osobní údaje pouze pro osobní či domácí činnost
 • orgány zpracovávající osobní údaje za účelem prevence, vyšetřování a stíhání trestných činů nebo výkonu trestu

 

Co GDPR přinese?

 • Rovnocennou vymahatelnost práva v celé EU a stejné sankce (až 20 mil. euro).
 • Rozšíření a větší důraz na práva subjektů.
 • Zvýšenou administrativu i finanční náklady pro všechny správce a zpracovatele OÚ.
 • Rozšíření definice osobních údajů (např. technické parametry: e-mail, IP adresa apod.).
 • Povinnost správce hlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hod. od chvíle, kdy se o incidentu dozvěděl.

 

Základní pojmy:

Subjekt údajů (SÚ)

 • fyzická osoba, k níž se osobní údaje vztahují

Osobní údaj (OÚ)

 • jakákoliv informace týkající se identifikovaného nebo identifikovatelného subjektu údajů. Subjekt údajů se považuje za identifikovaný nebo identifikovatelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat

Obecný osobní údaj

 • jméno, adresa, věk, cookies, IP adresa, fotografie, tel. číslo, videozáznam, GPS lokace

Zvláštní osobní údaj (citlivý údaj)

 • zdravotní stav, náboženství, rasová příslušnost, sexuální orientace, politické názory, údaje o trestní činnosti apod.

Správce

 • každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele

Zpracovatel

 • každý subjekt, který na základě pověření správcem nebo zvláštního zákona zpracovává osobní údaje podle tohoto zákona

Souhlas subjektu údajů

 • svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů

Anonymní údaj

 • takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k identifikovanému nebo identifikovatelnému subjektu údajů

Zpracování osobních údajů

 • jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji

Pověřenec – DPO (Data Protection Officer)

 • nově vytvořená pracovní pozice podle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Pověřencem může být vlastní zaměstnanec (zaměstnanci) firmy nebo externí pracovník (firma).

 

Zásady GDPR

 

Zákonnost – ke zpracování OÚ je nutný právní základ

 • souhlas se zpracováním OÚ
 • uzavření a plnění smlouvy
 • právní povinnost (např. fakturace)
 • oprávněný zájem (např. kamerový systém na ochranu majetku)
 • veřejný zájem, výkon veřejné moci, ochrana života

Transparentnost

 • SÚ musí být informován o právech a rizicích

Účelové omezení

 • pro každé zpracování musí být dán předem účel
 • údaje shromážděné k různým účelům musí být zpracovávány odděleně

Minimalizace

 • zpracovávat pouze údaje potřebné ke stanovenému účelu
 • omezení uchování – po uplynutí doby k dosažení účelu či zákonem – smazat
 • zavedení evidence uchovávání a mazání dat

Přesnost

 • OÚ musí být aktuálně přesné

Omezení uložení

 • zpracování OÚ pouze po nezbytně dlouhou dobu

Důvěrnost

 • OÚ jsou důvěrné a je nutno s nimi tak nakládat

Integrita        

 • nedotknutelnost, ucelenost
 • správné a nenarušené vztahy mezi jednotlivými záznamy

Odpovědnost

 • správce i zpracovatel musí zajistit soulad s GDPR a tento soulad prokázat

 

Posouzení vlivu na ochranu osobních údajů – DPIA (Data Protection Impact Assesment)

 

Jedná se o posouzení rizik zpracování OÚ.

DPIA se musí provést pokud:

 • Existuje vysoké riziko při určitém druhu zpracování.
 • Dochází k systematickému a rozsáhlému vyhodnocování OÚ založeném na automatickém zpracování.
 • Jedná se o zpracování zvláštní kategorie OÚ či trestních záležitostí.
 • Dochází k rozsáhlému systematickému monitorování.

 

Náležitosti DPIA

 • Popis plánovaných zpracování a účelů.
 • Oprávněné zájmy správce.
 • Posouzení nezbytnosti a přiměřenosti zpracování z hlediska účelu.
 • Posouzení rizik pro SÚ.
 • Opatření k řešení rizik.
 • Bezpečnostní mechanismy a doložení souladu.
 • Pokud je riziko i přes opatření stále vysoké – konzultace s dozorovým orgánem.