Pojmem GDPR nebo General Data Protection Regulation se rozumí nařízení Evropského parlamentu a Rady (EU) 2016/679, obecné nařízení EU o ochraně osobních údajů, které reguluje zpracování osobních údajů týkajících se fyzických osob jinou fyzickou osobou, firmou nebo organizací ve státech EU.
Daleko častěji však zkratka GDPR zahrnuje celkovou oblast ochrany osobních údajů. Díky pokutám stanoveným také podle celosvětového obratu nabyla tato tématika významu v roce 2018, kdy evropské nařízení začalo platit.
Právní úpravu ochrany osobních údajů dále nalezneme v zákoně o zpracování osobních údajů, a podzákonných vyhláškách a nařízeních, které se týkají již specifických případů (škol, obcí apod.). A protože značné množství pravidel je formulováno poměrně neurčitě, můžeme jejich upřesnění nalézt v rozhodnutích Úřadu pro ochranu osobních údajů, případně v jeho metodických pokynech.
V běžných případech však správcům postačí řídit se nařízením GDPR, která jsou relevantní pro typ jeho činnosti a která si postupně vysvětlíme v dalších článcích.
Co jsou to osobní údaje
Osobní údaje jsou jakékoli informace, které identifikují nebo pomocí kterých můžeme identifikovat konkrétní žijící fyzickou osobu.
Vedle údajů sloužících k identifikaci jako jméno, příjmení nebo rodné číslo, ale také údaje osobnější povahy, jakými jsou např. údaje o zdravotním stavu, údaje o mzdě nebo platu, IP adresy, uložené cookies, geolokační údaje, fotografie a videa a mnoho dalších.
Téměř vždy pracujeme s údaji obecnými, které zpracovává každý správce (identifikační a kontaktní), a následně specifickými na základě toho,
- kým jsou zpracovávány (firma, lékař, škola nebo domov seniorů apod.)
- kdo je jejich subjektem (zaměstnanec, zákazník, návštěvník webových stránek nebo pacient aj.)
Koho se pravidla týkají
Pravidla GDPR se dopadají na tzv. subjekty údajů (tedy fyzické osoby, jejichž údaje jsou zpracovávány), správce a jejich zpracovatele.
Zatímco subjektům údajů vznikají práva na řádnou ochranu, správcům a zpracovatelům pravidla zakládají povinný postup při zpracovávání údajů.
Správcem se může stát kdokoli, a to okamžikem, kdy provádí zpracování osobních údajů fyzické osoby. Tudíž mu nejen připadá úkol stanovit osobní údaje, které bude zpracovávat, jakým způsobem a za jakým účelem, ale také za samotné zpracování odpovídá. Na odpovědnost za narušení soukromí subjektů údajů se váže rozsáhlý počet možných přestupků a pokut.
Zpracovatelem je subjekt, který pro správce osobní údaje zpracovává: svojí činností odpovídá správci a vykonává výhradně ty zpracovatelské operace, kterými byl pověřen. Typicky se bude jednat o účetní, dodavatele software a obdobné subdodavatele služeb.