GDPR

Šablona:Infobox Právní předpis

Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR (z anglického General Data Protection Regulation), je klíčové nařízení Evropské unie (EU) zaměřené na ochranu osobních údajů a soukromí všech jedinců v rámci EU a EHP. Nařízení bylo přijato 27. dubna 2016 a vstoupilo v platnost 25. května 2018. Nahradilo dřívější směrnici 95/46/ES a přineslo zásadní změny v přístupu k ochraně dat v digitálním věku. GDPR má za cíl posílit práva subjektů údajů a sjednotit pravidla ochrany dat napříč členskými státy EU.

Potřeba komplexní reformy ochrany osobních údajů v EU vznikla v reakci na rychlý technologický rozvoj a rostoucí digitalizaci společnosti na počátku 21. století. Stávající směrnice z roku 1995 již nebyla dostatečná pro řešení výzev spojených s velkými daty, cloudovými službami a sociálními médii. Návrh nařízení byl předložen Evropskou komisí v roce 2012 a po čtyřech letech intenzivních jednání mezi Evropským parlamentem, Radou EU a Komisí bylo GDPR definitivně přijato v dubnu 2016. Plná účinnost nastala 25. května 2018, což dalo organizacím dvouleté přechodné období na zavedení potřebných změn.

GDPR je založeno na několika klíčových principech, které musí správci a zpracovatelé osobních údajů dodržovat při zpracování dat. Mezi tyto principy patří:

• Zákonnost, korektnost a transparentnost: Osobní údaje musí být zpracovávány zákonným, spravedlivým a transparentním způsobem ve vztahu k subjektu údajů.
• Účelové omezení: Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
• Minimalizace údajů: Osobní údaje musí být přiměřené, relevantní a omezené na to, co je nezbytné pro účely, pro které jsou zpracovávány.
• Přesnost: Osobní údaje musí být přesné a v případě potřeby aktualizované. Musí být přijata veškerá rozumná opatření k zajištění toho, aby nepřesné osobní údaje byly bezodkladně vymazány nebo opraveny.
• Omezení uložení: Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.
• Integrita a důvěrnost: Osobní údaje musí být zpracovávány způsobem, který zajistí náležitou bezpečnost osobních údajů, včetně ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, pomocí vhodných technických nebo organizačních opatření.
• Odpovědnost: Správce je odpovědný za dodržování všech výše uvedených principů a musí být schopen toto dodržování doložit.

GDPR má extenzivní územní působnost, což znamená, že se vztahuje nejen na organizace usazené v EU, ale i na ty mimo ni, pokud zpracovávají osobní údaje subjektů údajů z EU. Konkrétně se nařízení vztahuje na:

• Zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU, bez ohledu na to, zda se zpracování uskutečňuje v EU či nikoli.
• Zpracování osobních údajů subjektů údajů v EU správcem nebo zpracovatelem, který není usazen v EU, pokud jsou činnosti zpracování spojeny s:

   *   Nabídkou zboží nebo služeb těmto subjektům údajů v EU, bez ohledu na to, zda se vyžaduje platba subjektu údajů.
   *   Monitorováním jejich chování, pokud toto chování probíhá v EU.

Tato široká působnost znamená, že i například americké nebo asijské společnosti, které nabízejí služby evropským občanům, musí dodržovat pravidla GDPR.

GDPR významně posiluje práva jednotlivců ohledně jejich osobních údajů. Mezi klíčová práva subjektů údajů patří:

• Právo na informace: Subjekty údajů mají právo na jasné, transparentní a srozumitelné informace o tom, jak jsou jejich údaje zpracovávány.
• Právo na přístup: Mají právo získat potvrzení, zda jsou jejich osobní údaje zpracovávány, a pokud ano, mají právo k těmto údajům získat přístup a další informace o zpracování.
• Právo na opravu: Mají právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se jich týkají.
• Právo na výmaz (právo být zapomenut): Za určitých podmínek mají subjekty údajů právo na to, aby byly jejich osobní údaje bez zbytečného odkladu vymazány.
• Právo na omezení zpracování: Mají právo, aby správce omezil zpracování v určitých případech (např. po dobu ověřování přesnosti údajů).
• Právo na přenositelnost údajů: Mají právo získat osobní údaje, které se jich týkají a které poskytli správci, ve strukturovaném, běžně používaném a strojově čitelném formátu a právo předat tyto údaje jinému správci.
• Právo vznést námitku: Mají právo kdykoli vznést námitku proti zpracování osobních údajů, které se jich týkají, včetně profilování.
• Právo nebýt předmětem automatizovaného individuálního rozhodování: Mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro ně právní účinky nebo se jich významně dotýká.

GDPR ukládá správcům (organizacím, které určují účely a prostředky zpracování) a zpracovatelům (organizacím, které zpracovávají údaje jménem správce) řadu povinností, jejichž cílem je zajistit dodržování nařízení. Mezi nejdůležitější patří:

• Zavedení vhodných technických a organizačních opatření: Správci a zpracovatelé musí implementovat opatření k zajištění úrovně zabezpečení odpovídající riziku.
• Vedení záznamů o činnostech zpracování: Organizace musí vést podrobné záznamy o všech činnostech zpracování dat.
• Hlášení narušení zabezpečení osobních údajů: V případě narušení bezpečnosti dat musí správce informovat dozorový úřad do 72 hodin a v určitých případech i subjekty údajů.
• Posouzení vlivu na ochranu osobních údajů (DPIA): Pro vysoce rizikové činnosti zpracování je povinné provést posouzení dopadu na ochranu údajů.
• Jmenování pověřence pro ochranu osobních údajů (DPO): Některé organizace (např. veřejné orgány nebo ty, které provádějí rozsáhlé monitorování) musí jmenovat pověřence pro ochranu osobních údajů.
• Zásady ochrany údajů již od návrhu (Privacy by Design) a standardní nastavení (Privacy by Default): Znamená to, že ochrana soukromí musí být integrována do návrhu systémů a procesů a že výchozí nastavení by mělo být co nejvíce chránící soukromí.

GDPR zavedlo jedny z nejpřísnějších pokut za nedodržení pravidel. Dozorové úřady v členských státech EU mají pravomoc ukládat pokuty, které mohou dosáhnout až 20 milionů euro nebo 4 % celkového ročního celosvětového obratu podniku za předchozí finanční rok, podle toho, která hodnota je vyšší. Vymáhání GDPR je aktivní a v průběhu let 2023 a 2024 byly uloženy významné pokuty velkým technologickým společnostem i menším podnikům za různé prohřešky, jako je nedostatečný právní základ pro zpracování dat, neadekvátní zabezpečení dat nebo nerespektování práv subjektů údajů.

GDPR mělo a stále má významný dopad na organizace po celém světě. Přineslo zvýšené povědomí o ochraně soukromí a nutnosti transparentního nakládání s osobními údaji. Mezi hlavní dopady patří:

• Zvýšené náklady na dodržování předpisů: Organizace musely investovat do právního poradenství, bezpečnostních technologií a školení zaměstnanců.
• Změna obchodních procesů: Mnoho firem muselo revidovat své postupy shromažďování, ukládání a zpracování dat.
• Posílení důvěry spotřebitelů: Díky silnějším právům a transparentnosti může GDPR přispět k větší důvěře spotřebitelů v digitální služby.
• Výzvy v mezinárodním přenosu dat: Přenos osobních údajů mimo EU podléhá přísným pravidlům, což může být pro mezinárodní společnosti složité.

GDPR je živý právní rámec, který se neustále vyvíjí prostřednictvím výkladů Soudního dvora EU, doporučení Evropského sboru pro ochranu osobních údajů (EDPB) a rozhodnutí národních dozorových úřadů. V roce 2025 se očekává pokračující zaměření na:

• Umělá inteligence (AI): Jak se GDPR vztahuje na algoritmy AI, strojové učení a automatizované rozhodování, zejména s ohledem na nový Akt o umělé inteligenci.
• Cílená reklama a soubory cookie: Další upřesnění pravidel pro souhlas s používáním cookies a používání osobních údajů pro cílenou reklamu.
• Mezinárodní přenosy dat: Hledání udržitelných řešení pro přenos dat do třetích zemí po zrušení některých dřívějších mechanismů.
• Nové technologie: Adaptace nařízení na virtuální realitu, metaverse a další vznikající technologie.

Představte si, že vaše osobní údaje (jméno, adresa, e-mail, fotky, historie nákupů) jsou jako vaše osobní věci ve vašem domě. Dříve si je mohla kdekoli a kdykoli vzít skoro každá firma, aniž by se vás ptala nebo vám řekla, co s nimi dělá. GDPR je jako nový, velmi přísný zákon, který říká: "Stop!"

Teď už si firmy nemohou vzít vaše věci jen tak. Musí vás požádat o svolení, říct vám přesně, proč je chtějí, jak dlouho si je nechají a co s nimi budou dělat. Navíc, pokud se vám to nelíbí, můžete říct: "Vraťte mi mé věci!" nebo "Vymažte je!" Také máte právo vědět, co o vás firmy vědí. A pokud si firma vaše věci neuhlídá a někdo je ukradne (například hacker), musí vám to okamžitě říct.

GDPR je tedy jako váš osobní ochránce dat, který dává vám, občanům, mnohem větší kontrolu nad tím, co se s vašimi osobními informacemi děje, a nutí firmy, aby se k nim chovaly s velkým respektem a opatrností. A pokud to firmy nedodrží, hrozí jim velké pokuty.

• Oficiální text GDPR
• Úřad pro ochranu osobních údajů
• Evropský sbor pro ochranu osobních údajů (EDPB)