Obecné nařízení o ochraně údajů (GDPR)

KLÍČOVÉ BODY

Práva fyzických osob

Obecné nařízení o ochraně osobních údajů posiluje stávající práva, přiznává nová práva a dává fyzickým osobám více kontroly nad svými osobními údaji. Zahrnuje následující.

• Snadnější přístup k vlastním údajům. Patří sem poskytnutí více informací o tom, jak jsou údaje zpracovány, a zajištění toho, aby informace byly dostupné jasným a srozumitelným způsobem.
• Nové právo na přenositelnost údajů. Toto usnadňuje přenos osobních údajů mezi poskytovateli služeb.
• Jasnější právo na výmaz (právo být zapomenut). Když si osoba nepřeje, aby její údaje byly dále zpracovávány, a není podložený důvod k jejich uchovávání, budou údaje odstraněny.
• Právo dozvědět se, že došlo k narušení jejich osobních údajů. Společnosti a organizace musí informovat příslušný dozorový úřad pro ochranu údajů a v případě závažného porušení ochrany údajů také dotčené osoby.

Pravidla pro podniky

GDPR vytváří rovné podmínky pro všechny společnosti působící na vnitřním trhu EU, zaujímá technologicky neutrální přístup a stimuluje inovace prostřednictvím řady kroků, mezi něž patří následující.

• Jednotný soubor pravidel pro celou EU. Jednotný právní předpis pro ochranu údajů v celé EU zvyšuje právní jistotu a snižuje administrativní zátěž.
• Pověřenec pro ochranu osobních údajů. Osoba odpovědná za ochranu údajů musí být jmenována orgány veřejné moci a podniky, které zpracovávají údaje ve velkém rozsahu nebo jejichž hlavní činností je zpracování zvláštních kategorií údajů, například údajů týkajících se zdraví.
• Jednotné kontaktní místo. Podniky musí jednat pouze s jedním dozorovým úřadem (v členském státě EU, ve kterém mají hlavní provozovnu); v přeshraničních případech příslušné dozorové úřady spolupracují v rámci Evropského sboru pro ochranu osobních údajů.
• Pravidla EU pro společnosti mimo EU. Společnosti, které nejsou usazené v EU, musí dodržovat stejné předpisy, když nabízejí své služby nebo zboží v EU nebo když monitorují chování osob v EU.
• Předpisy podporující inovace. Jistota, že záruky na ochranu osobních údajů jsou nedílnou součástí produktů a služeb od první fáze jejich vývoje (záměrná a standardní ochrana osobních údajů).
• Techniky chránící soukromí. Například jsou podporovány pseudonymizace (když jsou identifikační pole v záznamech osobních údajů nahrazena jedním nebo více identifikačními kódy) a šifrování (kdy jsou údaje kódovány takovým způsobem, že je mohou přečíst jenom oprávněné strany), aby se omezila rušivost zpracování.
• Odstranění oznámení. GDPR zrušilo většinu oznamovacích povinností a nákladů s nimi spojených. Jedním z cílů nařízení je odstranit překážky, které ovlivňují volný pohyb osobních údajů v rámci EU. To podnikům usnadní expanzi na jednotném digitálním trhu.
• Posouzení vlivu na ochranu osobních údajů. Podniky budou muset provádět posouzení vlivu, pokud zpracování údajů povede k vysokému riziku pro práva a svobody osob.
• Uchovávání údajů. Malé a střední podniky nemusí uchovávat záznamy o zpracování údajů, pokud není pravidelné nebo nepředstavuje zvýšené riziko pro práva a svobody osob, jejichž údaje jsou zpracovávány, nebo nezahrnuje citlivé kategorie údajů.
• Moderní sada nástrojů pro mezinárodní přenosy dat. GDPR nabízí různé nástroje pro předávání údajů mimo EU, včetně rozhodnutí o odpovídající ochraně přijatých Evropskou komisí, pokud země mimo EU nabízí odpovídající úroveň ochrany, předem schválených (standardních) smluvních doložek, závazných podnikových pravidel, kodexů chování a certifikace.

Přezkum

Komise předložila zprávu o hodnocení a přezkumu tohoto nařízení v červnu 2020. Další hodnocení má proběhnout v roce 2024.