Obecné nařízení o ochraně osobních údajů (GDPR) chrání fyzické osoby při zpracování jejich údajů v soukromém sektoru a většině veřejného sektoru. Na zpracování údajů příslušnými orgány pro účely prosazování práva se místo toho vztahuje směrnice o ochraně údajů při prosazování práva (LED) (viz shrnutí).
Umožňuje fyzickým osobám lépe kontrolovat své osobní údaje. Také modernizuje a sjednocuje předpisy umožňující podnikům snížit administrativní zátěž a mít prospěch z větší důvěry spotřebitelů.
Zavádí systém zcela nezávislých dozorových orgánů odpovědných za sledování a vymáhání dodržování předpisů.
Je součástí reformy ochrany údajů v Evropské unii spolu se směrnicí o ochraně údajů při prosazování práva a nařízením (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty EU (viz shrnutí).
KLÍČOVÉ BODY
Práva fyzických osob
Obecné nařízení o ochraně osobních údajů posiluje stávající práva, přiznává nová práva a dává fyzickým osobám více kontroly nad svými osobními údaji. Zahrnuje následující.
Snadnější přístup k vlastním údajům. Patří sem poskytnutí více informací o tom, jak jsou údaje zpracovány, a zajištění toho, aby informace byly dostupné jasným a srozumitelným způsobem.
Nové právo na přenositelnost údajů. Toto usnadňuje přenos osobních údajů mezi poskytovateli služeb.
Jasnější právo na výmaz (právo být zapomenut). Když si osoba nepřeje, aby její údaje byly dále zpracovávány, a není podložený důvod k jejich uchovávání, budou údaje odstraněny.
Právo dozvědět se, že došlo k narušení jejich osobních údajů. Společnosti a organizace musí informovat příslušný dozorový úřad pro ochranu údajů a v případě závažného porušení ochrany údajů také dotčené osoby.
Pravidla pro podniky
GDPR vytváří rovné podmínky pro všechny společnosti působící na vnitřním trhu EU, zaujímá technologicky neutrální přístup a stimuluje inovace prostřednictvím řady kroků, mezi něž patří následující.
Jednotný soubor pravidel pro celou EU. Jednotný právní předpis pro ochranu údajů v celé EU zvyšuje právní jistotu a snižuje administrativní zátěž.
Pověřenec pro ochranu osobních údajů. Osoba odpovědná za ochranu údajů musí být jmenována orgány veřejné moci a podniky, které zpracovávají údaje ve velkém rozsahu nebo jejichž hlavní činností je zpracování zvláštních kategorií údajů, například údajů týkajících se zdraví.
Jednotné kontaktní místo. Podniky musí jednat pouze s jedním dozorovým úřadem (v členském státě EU, ve kterém mají hlavní provozovnu); v přeshraničních případech příslušné dozorové úřady spolupracují v rámci Evropského sboru pro ochranu osobních údajů.
Pravidla EU pro společnosti mimo EU. Společnosti, které nejsou usazené v EU, musí dodržovat stejné předpisy, když nabízejí své služby nebo zboží v EU nebo když monitorují chování osob v EU.
Předpisy podporující inovace. Jistota, že záruky na ochranu osobních údajů jsou nedílnou součástí produktů a služeb od první fáze jejich vývoje (záměrná a standardní ochrana osobních údajů).
Techniky chránící soukromí. Například jsou podporovány pseudonymizace (když jsou identifikační pole v záznamech osobních údajů nahrazena jedním nebo více identifikačními kódy) a šifrování (kdy jsou údaje kódovány takovým způsobem, že je mohou přečíst jenom oprávněné strany), aby se omezila rušivost zpracování.
Odstranění oznámení. GDPR zrušilo většinu oznamovacích povinností a nákladů s nimi spojených. Jedním z cílů nařízení je odstranit překážky, které ovlivňují volný pohyb osobních údajů v rámci EU. To podnikům usnadní expanzi na jednotném digitálním trhu.
Posouzení vlivu na ochranu osobních údajů. Podniky budou muset provádět posouzení vlivu, pokud zpracování údajů povede k vysokému riziku pro práva a svobody osob.
Uchovávání údajů.Malé a střední podniky nemusí uchovávat záznamy o zpracování údajů, pokud není pravidelné nebo nepředstavuje zvýšené riziko pro práva a svobody osob, jejichž údaje jsou zpracovávány, nebo nezahrnuje citlivé kategorie údajů.
Moderní sada nástrojů pro mezinárodní přenosy dat. GDPR nabízí různé nástroje pro předávání údajů mimo EU, včetně rozhodnutí o odpovídající ochraně přijatých Evropskou komisí, pokud země mimo EU nabízí odpovídající úroveň ochrany, předem schválených (standardních) smluvních doložek, závazných podnikových pravidel, kodexů chování a certifikace.
Přezkum
Komise předložila zprávu o hodnocení a přezkumu tohoto nařízení v červnu 2020. Další hodnocení má proběhnout v roce 2024.
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, , s. 1–88).
Následné změny nařízení (EU) 2016/679 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.
SOUVISEJÍCÍ DOKUMENTY
Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, , s. 89–131).
Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, , s. 39–98).
Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, , s. 37–47).