GDPR je zkratka pro obecné nařízení o ochraně osobních údajů. GDPR je nařízení Evropské unie o ochraně osobních údajů, které vstoupilo v platnost 25. května 2018. Vztahuje se na všechny organizace, které zpracovávají osobní údaje obyvatel EU. To znamená, že se týká společností v EU i v zahraničí. GDPR je nejpřísnější a nejkomplexnější nařízení o ochraně osobních údajů na světě.
Typy údajů
Existují dva typy údajů - osobní a neosobní.
- Osobní údaje
Osobní údaje jsou veškeré informace, které mohou přímo nebo nepřímo vést k identifikované nebo identifikovatelné fyzické osobě. Obecné nařízení o ochraně osobních údajů používá spíše termín "informace" než "údaje", protože údaje mají zpravidla informační hodnotu. Jakýkoli typ osobních údajů může být spojen s konkrétní žijící osobou.
- Neosobní údaje
Neosobní údaje nejsou nikdy spojeny s identifikovanou nebo identifikovatelnou fyzickou osobou. Tato kategorie zahrnuje údaje, které byly dříve klasifikovány jako osobní, ačkoli vazba na fyzickou osobu byla odstraněna.
Co je zpracování osobních údajů
Za zpracování osobních údajů se považují různé typy činností s osobními údaji:
shromažďování, zaznamenávání, uspořádání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, zpřístupňování přenosem, šíření nebo zpřístupňování, srovnávání nebo kombinování, omezování, výmaz nebo zničení.
Pravidla GDPR se vztahují na společnosti, které zpracovávají osobní údaje zcela nebo zčásti, pomocí automatizovaného nebo manuálního zpracování, nebo pokud jsou údaje součástí strukturovaného systému archivace.
Příklady osobních údajů
Obecné nařízení o ochraně osobních údajů se vztahuje na zpracování osobních údajů. Společnosti musí chránit následující osobní údaje:
- Osobní údaje zaměstnanců (jméno, adresa, datum narození atd.)
- Údaje o zákaznících/pacientech/obyvatelích (marketingové databáze, lékařské záznamy, seznamy kontaktů)
- Neveřejné osobní údaje obchodních partnerů a poskytovatelů služeb
- Osobní údaje, které jsou předávány a zpracovávány třetími stranami (účetní knihy, úvěrové registry, přímý marketing)
- Obrázky a zvukové záznamy
- Šifrované údaje (IP adresy, MAC adresy, cookies - pokud je lze spojit s fyzickou osobou)
- Fotografie fyzických osob
- Videozáznamy
Účel GDPR
Účelem obecného nařízení o ochraně osobních údajů je chránit soukromí občanů. Společnosti jsou proto povinny chránit osobní údaje těchto občanů a nesmí je zpracovávat ani prodávat třetím stranám bez jejich souhlasu.
V minulosti si společnosti údaje prodávaly navzájem bez souhlasu subjektů údajů. Cílem GDPR je vytvořit jednotnou standardizovanou normu pro ochranu osobních údajů v rámci EU.
Dalším cílem nařízení GDPR je modernizovat dřívější pravidla tak, aby odpovídala moderní digitální společnosti.
Práva jednotlivce
GDPR má občanům EU pomoci pochopit, jak jsou jejich údaje využívány a jak podávat stížnosti. Cílem je poskytnout jednotlivcům kontrolu nad jejich osobními údaji. Občané mají následující práva:
- právo být informován
- právo na přístup
- právo na opravu
- právo na výmaz/právo být zapomenut
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku a práva v souvislosti s automatizovaným rozhodováním a profilováním.
Oblast působnosti GDPR
Obecné nařízení o ochraně osobních údajů má dopad na všechny organizace, které zpracovávají osobní údaje občanů EU, včetně každé společnosti, která nabízí zboží a služby nebo zaměstnává lidi v EU, i když má subjekt sídlo mimo EU.
GDPR se vztahuje na společnosti, sdružení, organizace, úřady a v některých případech i na soukromé osoby.
GDPR se vztahuje na celou Evropskou unii a platí pro všechny členské státy a zahrnuje i země Evropského hospodářského prostoru, jako je Island, Lichtenštejnsko, Norsko a Spojené království.
Sedm zásad GDPR
GDPR stojí na sedmi zásadách zpracování osobních údajů.
- Zákonnost, korektnost a transparentnost
- Omezení účelu
- Minimalizace údajů
- Přesnost
- Omezení ukládání
- Integrita a důvěrnost (bezpečnost)
- Odpovědnost
Porušení GDPR – pokuty
V případě porušení GDPR existují dva typy pokut, které musí společnosti případně zaplatit.
- Nižší úroveň činí až 10 milionů eur nebo 2 % celosvětových ročních příjmů z předchozího roku, podle toho, která částka je vyšší. Porušení související s vedením záznamů, se zabezpečením údajů atd.
- Horní úroveň činí až 20 milionů eur nebo 4 % celosvětových celkových příjmů z předchozího fiskálního roku, podle toho, která částka je vyšší. Tyto pokuty jsou obvykle udělovány za porušení týkající se zásad ochrany údajů, porušení právního základu pro zpracování, zákazu zpracování citlivých údajů, popření práv subjektů údajů nebo předávání údajů do zemí mimo EU.
Pokuty dle GDPR se vztahují na všechny typy podniků, od velkých po malé.
Pokuty jsou stanoveny pro každý jednotlivý případ a musí být účinné, přiměřené a odrazující. Existuje katalog kritérií, která se používají pro stanovení přiměřeně vysoké pokuty. V úvahu se berou následující kritéria:
- zda bylo porušení předpisů úmyslné
- počet postižených osob
- jaký typ opatření podnik přijal ke zmírnění škody
- úroveň spolupráce s úřady atd.
Rozdíly v GDPR v rámci EU
Německý BDSG
Když vstoupilo v platnost nařízení GDPR, vstoupil v platnost i nový německý zákon o ochraně osobních údajů (BDSG-new). Ten doplňuje, upřesňuje a upravuje GDPR a zaměřuje se na konkrétní témata. BDSG-new se vztahuje na soukromé společnosti se sídlem v Německu, které zpracovávají osobní údaje v Německu, ale také na společnosti, které nabízejí zboží a služby v Německu nebo monitorují chování subjektů údajů v Německu.
Pět zákonů o ochraně osobních údajů ve světě podobných GDPR
Brazílie
Brazílie spustila LGPD v září 2020, tedy hned po GDPR. Oba zákony jsou si velmi podobné, pokud jde o rozsah působnosti a použitelnost. Společnosti, které chtějí podnikat v brazilské ekonomice, musí LGPD dodržovat.
Jihoafrická republika
Jihoafrický Zákon o ochraně osobních údajů (POPIA) platí od července 2020. Mezi GDPR a POPIA existuje několik rozdílů, pokud jde o přísnost zákonů. GDPR má vyšší pokuty, ale POPIA zahrnuje i trestní obvinění.
Turecko
Turecký Zákon o ochraně osobních údajů (LPDP) byl od roku 2016 několikrát novelizován, a je podobný nařízení GDPR, zejména pokud jde o zpracování osobních údajů.
USA
Každý stát má vlastní zákony o ochraně osobních údajů. Ve státě New York platí 23 NYCRR 500, který se vztahuje na finanční instituce působící v New Yorku. V Kalifornii existuje zákon o ochraně soukromí spotřebitelů (CCPA), který se velmi podobá GDPR.
Cílem zákona CCPA je podpořit ústavní právo spotřebitelů na soukromí tím, že jim poskytne účinný způsob kontroly jejich osobních údajů. Zákon byl schválen zákonodárným sborem státu Kalifornie a vstoupil v platnost v lednu 2020.
Thajsko
V únoru 2019 byl schválen Thajský zákon o ochraně osobních údajů (PDPA), datum účinnosti však bylo odloženo. Zákon je účinný od 1. června 2022. Zákon PDPA je podobný nařízení GDPR, neboť obsahuje širokou definici osobních údajů, požadavek na stanovení právního základu pro shromažďování a používání osobních údajů a vysoké pokuty za jeho porušení. Pokuty jsou nižší, avšak zároveň zde existuje hrozba odnětí svobody.
3 největší pokuty dle GDPR
#1 Amazon – pokuta 746 milionů eur
Pokutu ve výši 746 milionů eur udělila Lucemburská Národní komise pro ochranu osobních údajů (CNDP) společnosti Amazon.com Inc. Šetření bylo zahájeno na základě stížnosti, kterou na společnost Amazon podalo 10 000 osob v květnu 2018. CNPD zjistila, že společnost Amazon porušila GDPR, když její systém cílení reklamy nezískal od uživatelů řádný souhlas.
#2 WhatsApp – pokuta 225 milionů eur
Irská komise pro ochranu osobních údajů (DPC) udělila 2. září 2021 společnosti WhatsApp Ireland pokutu pro porušení GDPR. Společnost WhatsApp Ireland Ltd. porušila zásadu transparentnosti a neposkytla uživatelům řádné informace. V roce 2021 společnost WhatsApp aktualizovala své oznámení o ochraně osobních údajů uživatelů, aby zvýšila transparentnost zpracování osobních údajů uživatelů.
#3 Google LLC – pokuta 90 milionů
CNIL (The Commission nationale de l'informatique et des libertés) udělila společnosti Google LLC pokutu ve výši 90 milionů eur. Uživatelé YouTube ve Francii nemohli soubory cookie odmítnout stejně snadno jako je přijmout. Když jsou uživatelé odrazováni od odmítání souborů cookie, společnost z toho těží, a to je považováno za porušení GDPR.
5 kroků k zabezpečení dat pro splnění požadavků GDPR
1
Proveďte audit dat
Měli byste vědět, jaký typ osobních údajů vaše společnost generuje a kde jsou tyto informace uloženy.
2
Zaveďte pokyny pro nakládání s dokumenty
Vytvořte soubor pravidel, která určují, jak lze s osobními údaji nakládat.
3
Vzdělávejte své zaměstnance
Každý zaměstnanec by měl vědět, jak nakládat s osobními údaji.
4
Šifrujte svá data
GDPR doporučuje, aby všechna média a externí zařízení byla šifrována.
5
Chraňte svá data před únikem a vnitřními hrozbami
Prevence ztráty dat je komplexní strategie, která by měla být zavedena nejen kvůli GDPR, ale také proto, že data jsou jedním z nejcennějších aktiv, které firmy mají. Zabezpečte svá data a způsoby komunikace, jako je e-mail, cloudové úložiště, instant messengers, tisk, USB disky, mobilní zařízení atd.
Jak sladit nařízení GDPR s řešením Safetica
Safetica vám pomůže monitorovat tok dat v rámci vašeho IT prostředí při jejich příchodu do společnosti i při jejich odchodu ven. Můžete si nastavit konkrétní pravidla, která vám pomohou vyhovět nařízení GDPR. Budete mít přehled o tom, jak zaměstnanci pracují s osobními a dalšími citlivými údaji, a umožní vám eliminovat riziko zneužití nebo náhodného porušení zásad. V případě bezpečnostní hrozby vás systém upozorní v reálném čase.
Ochrana soukromí a osobních údajů by měla být v moderním světě absolutním právem každého člověka. Proto Safetica klade tuto ochranu do srdce každého našeho produktu,"
říká CISO společnosti Safetica Radim Trávníček.
Zjistěte více o dodržování předpisů a systému Safetica, nebo se přihlaste na demo s našimi bezpečnostními experty.