Obecné nařízení o ochraně osobních údajů

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 I
	Obecné nařízení o ochraně osobních údajů
Předpis státu
Číslo předpisu	2016/679
Údaje
Autor	Evropský parlament, Evropská rada
Schváleno	27. dubna 2016
Účinnost	od 25. května 2018

Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation), zkráceně ONOOÚ (GDPR), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.^[1]

Předmět a cíle

Stanovit pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a pravidla pro pohyb osobních údajů. Nařízení chrání základní práva a svobody fyzických osob se zaměřením na právo ochrany osobních údajů. Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.

Věcná působnost

Nařízení se vztahuje na automatizované zpracování osobních údajů i na neautomatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být zařazeny do evidence. Nařízení se nevztahuje na zpracování osobních údajů prováděné:

při výkonu činností, které nespadají do oblasti působnosti práva Unie;
členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
fyzickou osobou v průběhu výlučně osobních či domácích činností;
příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Zpracování osobních údajů orgány, institucemi a jinými subjekty Unie je upraveno mimo jiné nařízením (ES) č. 45/2001. Nařízení (ES) č. 45/2001 a další právní akty Unie týkající se takového zpracování osobních údajů jsou uzpůsobeny zásadám a pravidlům tohoto nařízení podle článku 98. Nařízením není dotčeno uplatňování směrnice 2000/31/ES.

Osobní údaje

Nařízení zpřesňuje a rozšiřuje okruh a definici osobních údajů. Osobní údaje jsou jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem proto nejsou např. údaje o právnické osobě (o jejích zaměstnancích už ale ano), údaje o osobách zemřelých, nejsou to údaje, které konkrétní osobu neztotožňují (např. pouhé běžné jméno a příjmení) a mezi osobní údaje nepatří údaje anonymizované, tedy takové, které původně možnost identifikace osoby obsahovaly, ale takový identifikátor z nich byl odstraněn.^[2] Oproti dřívější praxi směrnice naopak mezi osobní údaje zařazuje i dynamické IP adresy či jiné virtuální identifikátory.^[3]

Závaznost

Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

Z obsahu

Nařízení definuje zásady zpracování osobních údajů a podmínky zákonnosti jejich zpracování. Upravuje také podmínky vyjádření poskytnutého souhlasu se zpracováním údajů a poskytování informací a přístupu k osobním údajům.

Vybraná práva subjektu údajů

Mimo dalších, má subjekt údajů následující práva:

na opravu
na výmaz (tzv. právo být zapomenut)
na omezení zpracování

GDPR v Česku

Podle zjištění Hospodářské komory nebyla ještě koncem roku 2017 připravenost podnikatelů na GDPR vysoká,^[4] někteří o nové povinnosti v oblasti ochrany osobních údajů nejspíše ani nevěděli.^[4] Zavedení GDPR by u živnostníků nemělo trvat déle než měsíc.^[4]

Pro školy zavedení GDPR znamená mít dobře udělený souhlas, protože pokud někteří rodiče souhlas nedají, omezí se tím možnost prezentace školy, bude nutné používat začerňování a některé třídy nebudou moci být prezentovány vůbec.^[5] Souhlas rodičů by mohlo být nutné vyžadovat například v situacích, kdy dítě vyhraje matematickou soutěž a nechá se fotografovat, souhlas zákonného zástupce se zveřejněním výsledků soutěže a fotografií výherce.^[5] Ochrana osobních údajů ve školách se netýká pouze jmen dětí, ale týká se i jmen jejich rodičů.^[5] Hrozí, že ředitelé škol se budou neustále strachovat, že mají něco špatně.^[5]

Návrh zákona o zpracování osobních údajů, který schválila vláda umožňuje udělit souhlas se zpracováním údajů bez souhlasů rodičů dětem od 15 let.^[6] Původní předloha počítala s hranicí 13 let, ale z iniciativy Úřadu pro ochranu osobních údajů byla zvýšena.^[6] Odbory a zaměstnavatelské svazy požadovaly hranici 16 let.^[6]

Ochranu osobních údajů v nemocnicích, školách a obcích by měl hlídat speciální pověřenec.^[7] Ještě koncem září 2017 obcím, úřadům a firmám nebylo jasné, jak bude práce pověřence vypadat, jestli jich bude k dispozici dostatek, kolik budou stát a kde na ně vezmou peníze.^[7]

Konzervativní odhad nákladů na provoz pověřenců je 600 milionů korun, další náklady bude potřeba vynaložit na vstupní analýzy, nové počítače pro pověřence a programové vybavení.^[7] Protože hrozí nedostatek kvalifikovaných odborníků, je možné využít toho, že jeden specialista může pracovat pro více radnic, ovšem je možné, že větší obce si s jedním pověřencem nevystačí a budou jich potřebovat více.^[7] Ministerstvo vnitra doporučilo, aby jeden pověřenec pracoval nejvýše pro deset obcí.^[7]

Odkazy

Reference

↑ NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016
↑ ŠALAMON, Tomáš. Připravte se na GDPR - Osobní údaje jsou všude. Incomaker [online]. 9. listopadu 2017. Dostupné online.
↑ NEŠPŮREK, Robert. Rozhodnutí Breyer a dynamická IP adresa jako osobní údaj. Právní prostor [online]. 24. května 2017. Dostupné online.
↑ ^a ^b ^c ČTK. GDPR se dotkne i živnostníků. Drtivá většina o tom neví. Týden.cz [online]. 24.11.2017 19:40. Dostupné online.
↑ ^a ^b ^c ^d -jan-. Školy se s obavami připravují na novou směrnici EU. Týden.cz [online]. 21.03.2018 20:54. Dostupné online.
↑ ^a ^b ^c Souhlas se zpracováním údajů by měly děti smět dát od 15 let. Týden.cz [online]. 21.03.2018 09:18. Dostupné online.
↑ ^a ^b ^c ^d ^e CECHL, Pavel; BAROCH, Pavel. Nový příkaz z Bruselu: strážce dat v každé vsi. Týden.cz [online]. 22.09.2017 12:55. Dostupné online.

Externí odkazy

Plný text Nařízení 2016/679
Základní informace o GDPR na stránkách EU
GDPR návod pro malé podnikatele [online]. 4. 4. 2018 [cit. 2018-04-04]. Dostupné online.
GDPR a kybernetický zákon: Strašák nebo pomocník? [online]. 26. 3. 2017 [cit. 2017-04-06]. Dostupné online.
46 otázek a odpovědí ke GDPR [online]. 17. 3. 2017 [cit. 2017-04-06]. Dostupné online.
Oficiální GDPR certifikace [online]. 8. 9. 2017 [cit. 2017-09-12]. Dostupné online.

[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016

[2] ŠALAMON, Tomáš. Připravte se na GDPR - Osobní údaje jsou všude. Incomaker [online]. 9. listopadu 2017. Dostupné online.

[3] NEŠPŮREK, Robert. Rozhodnutí Breyer a dynamická IP adresa jako osobní údaj. Právní prostor [online]. 24. května 2017. Dostupné online.

[tyden.cz/rubriky/byznys/podnikani-a-prace/gdpr-se-dotkne-i-zivnostniku-drtiva-vetsina-o-tom-nevi_456112-4] ČTK. GDPR se dotkne i živnostníků. Drtivá většina o tom neví. Týden.cz [online]. 24.11.2017 19:40. Dostupné online.

[tyden.cz/rubriky/domaci/skolstvi/skoly-se-s-obavami-pripravuji-na-novou-smernici-eu_472452-5] -jan-. Školy se s obavami připravují na novou směrnici EU. Týden.cz [online]. 21.03.2018 20:54. Dostupné online.

[tyden.cz/rubriky/domaci/souhlas-se-zpracovanim-udaju-by-mely-deti-smet-dat-od-15-let_472427"-6] Souhlas se zpracováním údajů by měly děti smět dát od 15 let. Týden.cz [online]. 21.03.2018 09:18. Dostupné online.

[tyden.cz/rubriky/domaci/novy-prikaz-z-bruselu-strazce-dat-v-kazde-vsi_446982-7] CECHL, Pavel; BAROCH, Pavel. Nový příkaz z Bruselu: strážce dat v každé vsi. Týden.cz [online]. 22.09.2017 12:55. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]