3 nejčastější otázky o GDPR

Napsala Nela Patschová ze společnosti Safetica dne 12.02.2018

Přestože GDPR už klepe na dveře, lidé se na školeních, webinářích a konzultacích často ptají na velmi podobné otázky. To jen dokazuje, že požadavky GDPR nařízení jsou opravdu náročné i na pochopení. Vybrali jsme pro vás tři nejčastější otázky o GDPR, ve kterých je důležité mít jasno.

Co je podle GDPR osobní údaj?

GDPR vysvětluje termín osobní údaj hodně obecně – jedná se o jakýkoliv údaj týkající se určené nebo určitelné fyzické osoby. Tady je seznam konkrétních příkladů a nejčastějších typů osobních údajů v organizacích. Není však jednoduché vyjmenovat všechny možné údaje považované za osobní data, protože nařízení GDPR má vskutku široký záběr. Navíc se osobní údaje dělí ještě na obecné a zvláštní kategorie, které GDPR nařizuje chránit ještě přísněji.

Obecné osobní údaje

  • Jméno
  • Věk
  • Pohlaví
  • Datum narození
  • Osobní stav
  • IP adresa, log
  • Fotografie
  • E-mailové adresy
  • Telefonní čísla
  • Identifikační údaje vydané státem
  • Číslo občanského průkazu
  • Občanství

Zvláštní kategorie osobních údajů

  • Osobní údaje dětí
  • Členství v odborech
  • Zdravotní karta
  • Trestní minulost
  • Sexuální orientace
  • Rasový či etnický původ
  • Politické názory
  • Náboženské či filozofické vyznání
  • Informace o pravomocném odsouzení
  • Biometrické údaje

Nejsou osobní údaje

  • Anonymní údaj
  • Údaj o zesnulém
  • Data o právnické osobě
  • Údaje osobní povahy, které jsou zpracovány pro osobní potřebu, nemají obchodní či institucionální povahu a s nikým je nesdílíme a ani nebudeme.

Jaké mají organizace povinnosti podle GDPR?

Správci a zpracovatelé údajů bez ohledu na velikost či počet zaměstnanců musí zavést technická, organizační a procesní opatření, aby dokázali, že splňují požadavky GDPR. Z těch nejzásadnějších povinností jde o tyto:

  • Musíte mít souhlas se zpracováním osobních údajů, a to jednoznačný, svobodně daný a nepodmíněný sankcí.
  • Musíte mít pověřence pro ochranu osobních údajů (Data Protection Officer, DPO) pokud se vás tato povinnost týká (viz odpověď otázku č. 3).
  • Musíte mít DPIA (Data Protection Impact Assesment), tedy posouzení dopadu, pokud zpracováváte zvláštní kategorie osobních údajů, systematicky monitorujete veřejně přístupná místa anebo profilujete.
  • Musíte si vést záznamy o zpracování osobních dat.
  • A samozřejmě musíte dodržovat práva občanů neboli subjektů údajů na informace, opravu, výmaz, zapomenutí, přenositelnost a vznesení námitky.

Kdo musí mít DPO (pověřence pro ochranu osobních údajů) a co to vlastně je?

DPO je samostatná osoba, odpovědná za zpracování osobních údajů v organizaci. Nenese však osobní odpovědnost za (ne)dodržování GDPR. V této chvíli neexistuje žádné speciální oprávnění nebo certifikát pro pověřence. Ale DPO by měl znát právní základy GDPR, IT systémy a bezpečnost informací, aby mohl posoudit, zda zpracování osobních údajů je či není v souladu s GDPR, aby mohl dělat interní audity, školit pracovníky a vůbec řídit interní ochranu dat v organizaci.

Jmenovat pověřence musíte pokud:

  • Jste orgán veřejné moci či veřejný subjekt, který zpracovává osobní údaje.
  • Jste správce či zpracovatel osobních údajů a rozsáhle, pravidelně a systematicky monitorujete osoby za účelem zpracování jejich údajů.
  • Jste správce či zpracovatel a rozsáhle zpracováváte zvláštní kategorie osobních údajů nebo osobní údaje týkající se trestných činů či trestních rozsudků.

Pořád zůstává spousta otázek nezodpovězených? Kontaktujte nás. Pomůžeme vám zvládnout GDPR