Co je GDPR? Rozsah působnosti, účel, pokuty a způsoby, jak vyhovět požadavkům GDPR

GDPR je zkratka pro obecné nařízení o ochraně osobních údajů. GDPR je nařízení Evropské unie o ochraně osobních údajů, které vstoupilo v platnost 25. května 2018. Vztahuje se na všechny organizace, které zpracovávají osobní údaje obyvatel EU. To znamená, že se týká společností v EU i v zahraničí. GDPR je nejpřísnější a nejkomplexnější nařízení o ochraně osobních údajů na světě.

Typy údajů

Existují dva typy údajů - osobní a neosobní.

• Osobní údaje

Osobní údaje jsou veškeré informace, které mohou přímo nebo nepřímo vést k identifikované nebo identifikovatelné fyzické osobě. Obecné nařízení o ochraně osobních údajů používá spíše termín "informace" než "údaje", protože údaje mají zpravidla informační hodnotu. Jakýkoli typ osobních údajů může být spojen s konkrétní žijící osobou.

• Neosobní údaje

Neosobní údaje nejsou nikdy spojeny s identifikovanou nebo identifikovatelnou fyzickou osobou. Tato kategorie zahrnuje údaje, které byly dříve klasifikovány jako osobní, ačkoli vazba na fyzickou osobu byla odstraněna.

Co je zpracování osobních údajů

Za zpracování osobních údajů se považují různé typy činností s osobními údaji:

shromažďování, zaznamenávání, uspořádání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, zpřístupňování přenosem, šíření nebo zpřístupňování, srovnávání nebo kombinování, omezování, výmaz nebo zničení.

Pravidla GDPR se vztahují na společnosti, které zpracovávají osobní údaje zcela nebo zčásti, pomocí automatizovaného nebo manuálního zpracování, nebo pokud jsou údaje součástí strukturovaného systému archivace.

Příklady osobních údajů

Obecné nařízení o ochraně osobních údajů se vztahuje na zpracování osobních údajů. Společnosti musí chránit následující osobní údaje:

• Osobní údaje zaměstnanců (jméno, adresa, datum narození atd.)
• Údaje o zákaznících/pacientech/obyvatelích (marketingové databáze, lékařské záznamy, seznamy kontaktů)
• Neveřejné osobní údaje obchodních partnerů a poskytovatelů služeb
• Osobní údaje, které jsou předávány a zpracovávány třetími stranami (účetní knihy, úvěrové registry, přímý marketing)
• Obrázky a zvukové záznamy
• Šifrované údaje (IP adresy, MAC adresy, cookies - pokud je lze spojit s fyzickou osobou)
• Fotografie fyzických osob
• Videozáznamy
  

Účel GDPR

Účelem obecného nařízení o ochraně osobních údajů je chránit soukromí občanů. Společnosti jsou proto povinny chránit osobní údaje těchto občanů a nesmí je zpracovávat ani prodávat třetím stranám bez jejich souhlasu.

V minulosti si společnosti údaje prodávaly navzájem bez souhlasu subjektů údajů. Cílem GDPR je vytvořit jednotnou standardizovanou normu pro ochranu osobních údajů v rámci EU.

Dalším cílem nařízení GDPR je modernizovat dřívější pravidla tak, aby odpovídala moderní digitální společnosti.

Práva jednotlivce

GDPR má občanům EU pomoci pochopit, jak jsou jejich údaje využívány a jak podávat stížnosti. Cílem je poskytnout jednotlivcům kontrolu nad jejich osobními údaji. Občané mají následující práva:

• právo být informován
• právo na přístup
• právo na opravu
• právo na výmaz/právo být zapomenut
• právo na omezení zpracování
• právo na přenositelnost údajů
• právo vznést námitku a práva v souvislosti s automatizovaným rozhodováním a profilováním.

Oblast působnosti GDPR

Obecné nařízení o ochraně osobních údajů má dopad na všechny organizace, které zpracovávají osobní údaje občanů EU, včetně každé společnosti, která nabízí zboží a služby nebo zaměstnává lidi v EU, i když má subjekt sídlo mimo EU.

GDPR se vztahuje na společnosti, sdružení, organizace, úřady a v některých případech i na soukromé osoby.

GDPR se vztahuje na celou Evropskou unii a platí pro všechny členské státy a zahrnuje i země Evropského hospodářského prostoru, jako je Island, Lichtenštejnsko, Norsko a Spojené království.

Porušení GDPR – pokuty 

V případě porušení GDPR existují dva typy pokut, které musí společnosti případně zaplatit.

• Nižší úroveň činí až 10 milionů eur nebo 2 % celosvětových ročních příjmů z předchozího roku, podle toho, která částka je vyšší. Porušení související s vedením záznamů, se zabezpečením údajů atd.
• Horní úroveň činí až 20 milionů eur nebo 4 % celosvětových celkových příjmů z předchozího fiskálního roku, podle toho, která částka je vyšší. Tyto pokuty jsou obvykle udělovány za porušení týkající se zásad ochrany údajů, porušení právního základu pro zpracování, zákazu zpracování citlivých údajů, popření práv subjektů údajů nebo předávání údajů do zemí mimo EU.

Pokuty dle GDPR se vztahují na všechny typy podniků, od velkých po malé.

Pokuty jsou stanoveny pro každý jednotlivý případ a musí být účinné, přiměřené a odrazující. Existuje katalog kritérií, která se používají pro stanovení přiměřeně vysoké pokuty. V úvahu se berou následující kritéria:

• zda bylo porušení předpisů úmyslné
• počet postižených osob
• jaký typ opatření podnik přijal ke zmírnění škody
• úroveň spolupráce s úřady atd.

Rozdíly v GDPR v rámci EU 

Německý BDSG 

Když vstoupilo v platnost nařízení GDPR, vstoupil v platnost i nový německý zákon o ochraně osobních údajů (BDSG-new). Ten doplňuje, upřesňuje a upravuje GDPR a zaměřuje se na konkrétní témata. BDSG-new se vztahuje na soukromé společnosti se sídlem v Německu, které zpracovávají osobní údaje v Německu, ale také na společnosti, které nabízejí zboží a služby v Německu nebo monitorují chování subjektů údajů v Německu.

Pět zákonů o ochraně osobních údajů ve světě podobných GDPR 

Brazílie

Brazílie spustila LGPD v září 2020, tedy hned po GDPR. Oba zákony jsou si velmi podobné, pokud jde o rozsah působnosti a použitelnost. Společnosti, které chtějí podnikat v brazilské ekonomice, musí LGPD dodržovat.

Jihoafrická republika

Jihoafrický Zákon o ochraně osobních údajů (POPIA) platí od července 2020. Mezi GDPR a POPIA existuje několik rozdílů, pokud jde o přísnost zákonů. GDPR má vyšší pokuty, ale POPIA zahrnuje i trestní obvinění.

Turecko

Turecký Zákon o ochraně osobních údajů (LPDP) byl od roku 2016 několikrát novelizován, a je podobný nařízení GDPR, zejména pokud jde o zpracování osobních údajů.

USA

Každý stát má vlastní zákony o ochraně osobních údajů. Ve státě New York platí 23 NYCRR 500, který se vztahuje na finanční instituce působící v New Yorku. V Kalifornii existuje zákon o ochraně soukromí spotřebitelů (CCPA), který se velmi podobá GDPR.

Cílem zákona CCPA je podpořit ústavní právo spotřebitelů na soukromí tím, že jim poskytne účinný způsob kontroly jejich osobních údajů. Zákon byl schválen zákonodárným sborem státu Kalifornie a vstoupil v platnost v lednu 2020.

Thajsko

V únoru 2019 byl schválen Thajský zákon o ochraně osobních údajů (PDPA), datum účinnosti však bylo odloženo. Zákon je účinný od 1. června 2022. Zákon PDPA je podobný nařízení GDPR, neboť obsahuje širokou definici osobních údajů, požadavek na stanovení právního základu pro shromažďování a používání osobních údajů a vysoké pokuty za jeho porušení. Pokuty jsou nižší, avšak zároveň zde existuje hrozba odnětí svobody.

3 největší pokuty dle GDPR 

#1 Amazon – pokuta 746 milionů eur 

Pokutu ve výši 746 milionů eur udělila Lucemburská Národní komise pro ochranu osobních údajů (CNDP) společnosti Amazon.com Inc. Šetření bylo zahájeno na základě stížnosti, kterou na společnost Amazon podalo 10 000 osob v květnu 2018. CNPD zjistila, že společnost Amazon porušila GDPR, když její systém cílení reklamy nezískal od uživatelů řádný souhlas.

#2 WhatsApp – pokuta 225 milionů eur 

Irská komise pro ochranu osobních údajů (DPC) udělila 2. září 2021 společnosti WhatsApp Ireland pokutu pro porušení GDPR. Společnost WhatsApp Ireland Ltd. porušila zásadu transparentnosti a neposkytla uživatelům řádné informace. V roce 2021 společnost WhatsApp aktualizovala své oznámení o ochraně osobních údajů uživatelů, aby zvýšila transparentnost zpracování osobních údajů uživatelů.

#3 Google LLC – pokuta 90 milionů

CNIL (The Commission nationale de l'informatique et des libertés) udělila společnosti Google LLC pokutu ve výši 90 milionů eur. Uživatelé YouTube ve Francii nemohli soubory cookie odmítnout stejně snadno jako je přijmout. Když jsou uživatelé odrazováni od odmítání souborů cookie, společnost z toho těží, a to je považováno za porušení GDPR.

Jak sladit nařízení GDPR s řešením Safetica 

Zjistěte více o dodržování předpisů a systému Safetica, nebo se přihlaste na demo s našimi bezpečnostními experty.

Přihlásit se na demo