GDPR

• Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

CO GDPR ZNAMENÁ?

• Tzv. Obecné nařízení o ochraně osobních údajů
• V současné chvíli nejdůležitější evropský předpis v oblasti ochrany osobních údajů
• Je přímo účinné a aplikovatelné = není nutný prováděcí předpis (tj. je účinné i bez existence novelizovaného zákona o ochraně osobních údajů)

Účinné od 25. 5. 2018

NA CO SE GDPR VZTAHUJE?

NA CO SE GDPR VZTAHUJE?

• Vztahuje se na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny = prakticky veškeré operace, které ve společnosti s osobními údaji provádíme
• Nevztahuje se na: prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; výlučně osobní či domácí činnosti

NA CO SE GDPR VZTAHUJE?

ZÁKLADNÍ POJMY

ZÁKLADNÍ POJMY

Osobní údaj

Zvláštní kategorie osobních údajů

ZÁKLADNÍ POJMY

Zpracování osobních údajů

Správce a zpracovatel osobních údajů

OSOBNÍ ÚDAJ

= jakýkoliv údaj, který lze přímo či nepřímo přiřadit ke konkrétní fyzické osobě (X zvláštní kategorie osobních údajů)

Co může být osobním údajem:

Jméno

Příjmení

Adresa trvalého bydliště, doručovací adresa

E-mailová adresa (pozor i samotná e-mailová adresa může být za určitých okolností dostatečně specifická! – např. Firemní e-mailové adresy)

Telefonní číslo

Datum narození

Rodné číslo

Fotografie

Video záznam

Audio záznam

IP adresa

Státní občanství

Atd.

Co není osobním údajem:

Údaje právnických osob (X osobními údaji jsou však údaje o zaměstnancích těchto právnických osob)

Anonymizované údaje = údaje, z nichž zpětně nelze zjistit osobní údaj (X pseudonymizované údaje = údaje rozdělené tak, že jednotlivé části nelze přiřadit ke konkrétní osobě, ale na základě určitého klíče lze osobní údaj zpětně rekonstruovat)

Údaje zemřelých osob

Údaje získané v rámci činnosti čistě osobní povahy

ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ

Dříve tzv. citlivé osobní údaje údaje (X dnes tento pojem už neexistuje)

Co je osobním údajem zvláštní kategorie:

• Údaje o rasovém či etnickém původu (X nespadá sem státní občanství)
• Údaje o politických názorech (X nespadá sem členství v politické straně)
• Údaje o náboženském vyznání či filozofickém přesvědčení
• Údaje o členství v odborech
• genetické údaje, biometrických údaje za účelem jedinečné identifikace fyzické osoby
• Údaje o zdravotním stavu
• Údaje o sexuálním životě nebo sexuální orientaci fyzické osoby

Zpracování této kategorie osobních údajů primárně zakázáno X výjimky:

• Výslovný souhlas subjektu údajů k jejich zpracování
• Zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany
• Zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas
• Jedná se o zjevně zveřejněné údaje
• Jejich zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí
• Na jejich zpracování existuje významný veřejný zájem
• Zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče
• Na jejich zpracování existuje veřejný zájem v oblasti veřejného zdraví
• Archivace ve veřejném zájmu

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

• jakákoliv operace nebo soustava operací, kterou správce či zpracovatel s osobními údaji provádějí systematicky, za určitým účelem či cílem, a to bez ohledu na způsob a prostředky zpracování

SPRÁVCE A ZPRACOVATEL OSOB. ÚDAJŮ

• správce osobních údajů určuje účely a prostředky zpracování osobních údajů, správce je primárně odpovědný v případě porušení předpisů ochrany osobních údajů
• zpracovatel zpracovává osobní údaje pro správce na základě pokynů správce

Mezi těmito subjekty je nutné uzavřít smlouvu o zpracování osobních údajů dle požadavků GDPR

ZÁKLADNÍ PRINCIPY GDPR

ZÁKLADNÍ PRINCIPY

• Zákonnost, korektnost, transparentnost
• Účelové omezení
• Minimalizace údajů (rozsah údajů)
• Přesnost
• Omezení uložení (doba)
• Integrita a důvěrnost
• Odpovědnost

ZÁKLADNÍ PRINCIPY

Na principu odpovědnosti stojí celé GDPR

ZÁKONNOST ZPRACOVÁNÍ

• Zpracování osobních údajů musí probíhat na základě právního titulu
• Výčet právních titulů:
• Souhlas
• Plnění smlouvy
• Právní povinnost
• Ochrana životně důležitých zájmů subjektu údajů či jiné FO
• Veřejný zájem či výkon veřejné moci
• Oprávněný zájem

ZÁKLADNÍ PRINCIPY

KOREKTNOST A TRANSPARENTNOST ZPRACOVÁNÍ

• Dostupné na webových stránkách či v interním systému
• Aktualizované

• Vždy informovat stručným, transparentním, srozumitelným, snadno přístupným způsobem, za použití jasných a jednoduchých jazykových prostředků

• Plnění informační povinnosti ve společnostech skupiny STUDENT AGENCY = Zásady ochrany osobních údajů (ve vztahu k zákazníkům a dalším dotčeným třetím osobám jako jsou dodavatelé, uchazeči o zaměstnání, návštěvníci webových stránek atd.) a Informace o ochraně osobních údajů zaměstnanců (ve vztahu k zaměstnancům společnosti)

ZÁKLADNÍ PRINCIPY

Reálný způsob zpracování odpovídá tomu uváděnému

ÚČELOVÉ OMEZENÍ

• Každé zpracování musí probíhat za konkrétním účelem
• Stanoví správce před zahájením samotného zpracování
• Ke každému účelu nutno přiřadit odpovídající právní titul
• Pro každý účel by mělo probíhat oddělené zpracování

• Co může být účelem zpracování:

ZÁKLADNÍ PRINCIPY

• Plnění a realizace smluv se zákazníky
• Zasílání obchodních sdělení
• Plnění a realizace pracovní smlouvy
• Uplatňování nároků ze smluvních vztahů po ukončení smlouvy atd.

MINIMALIZACE ÚDAJŮ

• Zpracováváme pouze ty osobní údaje, které jsou k nezbytné k naplnění daného účelu
• Zamezení nadbytečného zpracování osobních údajů

ZÁKLADNÍ PRINCIPY

PŘESNOST

• Údaje by měly být přesné a aktualizované
• V případě opravy údajů si dát pozor, aby údaje byly opraveny ve všech databázích

ZÁKLADNÍ PRINCIPY

PŘESNOST

• Údaje by měly být přesné a aktualizované
• V případě opravy údajů si dát pozor, aby údaje byly opraveny ve všech databázích

ZÁKLADNÍ PRINCIPY

OMEZENÍ ULOŽENÍ

• Osobní údaje můžeme zpracovávat pouze po dobu, po kterou trvá účel zpracování
• po skončení trvání účelu vymazání údajů (X pokud se neuplatní zákonné lhůty, archivace)

ZÁKLADNÍ PRINCIPY

INTEGRITA A DŮVĚRNOST

• Zabezpečení osobních údajů – vhodná technická a organizační opatření
• Každý zaměstnanec by měl mít svůj login – vedení evidence loginů
• Interní dokumenty (Směrnice)

ZÁKLADNÍ PRINCIPY

ODPOVĚDNOST

• Objektivní odpovědnost správce a zpracovatele za újmu způsobenou komukoliv porušením GDPR (čl. 82 GDPR)
• Je možné zproštění odpovědnosti, pokud správce nebo zpracovatel prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla
• Zavedení účinných opatření (např. vnitřní postupy, odborná příprava a vzdělávání zaměstnanců, pravidelné interní a externí audity, postupy pro správu žádostí subjektů údajů, standardizované postupy vyřizování žádostí atd.)

ZÁKLADNÍ PRINCIPY

Odkazem níže se vrátíte do moodle

Následně vyplňte test k GDPR

ODKAZ