Obecné nařízení o ochraně údajů (GDPR)

PŘEHLED DOKUMENTU:

Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů

CO JE CÍLEM NAŘÍZENÍ?

• Obecné nařízení o ochraně osobních údajů (GDPR) chrání fyzické osoby při zpracování jejich údajů v soukromém sektoru a většině veřejného sektoru. Na zpracování údajů příslušnými orgány pro účely prosazování práva se místo toho vztahuje směrnice o ochraně údajů při prosazování práva (LED) (viz shrnutí).
• Umožňuje fyzickým osobám lépe kontrolovat své osobní údaje. Také modernizuje a sjednocuje předpisy umožňující podnikům snížit administrativní zátěž a mít prospěch z větší důvěry spotřebitelů.
• Zavádí systém zcela nezávislých dozorových orgánů odpovědných za sledování a vymáhání dodržování předpisů.
• Je součástí reformy ochrany údajů v Evropské unii spolu se směrnicí o ochraně údajů při prosazování práva a nařízením (EU) 2018/1725 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty EU (viz shrnutí).

KLÍČOVÉ BODY

Práva fyzických osob

Obecné nařízení o ochraně osobních údajů posiluje stávající práva, přiznává nová práva a dává fyzickým osobám více kontroly nad svými osobními údaji. Zahrnuje následující.

• Snadnější přístup k vlastním údajům. Patří sem poskytnutí více informací o tom, jak jsou údaje zpracovány, a zajištění toho, aby informace byly dostupné jasným a srozumitelným způsobem.
• Nové právo na přenositelnost údajů. Toto usnadňuje přenos osobních údajů mezi poskytovateli služeb.
• Jasnější právo na výmaz (právo být zapomenut). Když si osoba nepřeje, aby její údaje byly dále zpracovávány, a není podložený důvod k jejich uchovávání, budou údaje odstraněny.
• Právo dozvědět se, že došlo k narušení jejich osobních údajů. Společnosti a organizace musí informovat příslušný dozorový úřad pro ochranu údajů a v případě závažného porušení ochrany údajů také dotčené osoby.

Pravidla pro podniky

GDPR vytváří rovné podmínky pro všechny společnosti působící na vnitřním trhu EU, zaujímá technologicky neutrální přístup a stimuluje inovace prostřednictvím řady kroků, mezi něž patří následující.

• Jednotný soubor pravidel pro celou EU. Jednotný právní předpis pro ochranu údajů v celé EU zvyšuje právní jistotu a snižuje administrativní zátěž.
• Pověřenec pro ochranu osobních údajů. Osoba odpovědná za ochranu údajů musí být jmenována orgány veřejné moci a podniky, které zpracovávají údaje ve velkém rozsahu nebo jejichž hlavní činností je zpracování zvláštních kategorií údajů, například údajů týkajících se zdraví.
• Jednotné kontaktní místo. Podniky musí jednat pouze s jedním dozorovým úřadem (v členském státě EU, ve kterém mají hlavní provozovnu); v přeshraničních případech příslušné dozorové úřady spolupracují v rámci Evropského sboru pro ochranu osobních údajů.
• Pravidla EU pro společnosti mimo EU. Společnosti, které nejsou usazené v EU, musí dodržovat stejné předpisy, když nabízejí své služby nebo zboží v EU nebo když monitorují chování osob v EU.
• Předpisy podporující inovace. Jistota, že záruky na ochranu osobních údajů jsou nedílnou součástí produktů a služeb od první fáze jejich vývoje (záměrná a standardní ochrana osobních údajů).
• Techniky chránící soukromí. Například jsou podporovány pseudonymizace (když jsou identifikační pole v záznamech osobních údajů nahrazena jedním nebo více identifikačními kódy) a šifrování (kdy jsou údaje kódovány takovým způsobem, že je mohou přečíst jenom oprávněné strany), aby se omezila rušivost zpracování.
• Odstranění oznámení. GDPR zrušilo většinu oznamovacích povinností a nákladů s nimi spojených. Jedním z cílů nařízení je odstranit překážky, které ovlivňují volný pohyb osobních údajů v rámci EU. To podnikům usnadní expanzi na jednotném digitálním trhu.
• Posouzení vlivu na ochranu osobních údajů. Podniky budou muset provádět posouzení vlivu, pokud zpracování údajů povede k vysokému riziku pro práva a svobody osob.
• Uchovávání údajů. Malé a střední podniky nemusí uchovávat záznamy o zpracování údajů, pokud není pravidelné nebo nepředstavuje zvýšené riziko pro práva a svobody osob, jejichž údaje jsou zpracovávány, nebo nezahrnuje citlivé kategorie údajů.
• Moderní sada nástrojů pro mezinárodní přenosy dat. GDPR nabízí různé nástroje pro předávání údajů mimo EU, včetně rozhodnutí o odpovídající ochraně přijatých Evropskou komisí, pokud země mimo EU nabízí odpovídající úroveň ochrany, předem schválených (standardních) smluvních doložek, závazných podnikových pravidel, kodexů chování a certifikace.

Přezkum

Komise předložila zprávu o hodnocení a přezkumu tohoto nařízení v červnu 2020. Další hodnocení má proběhnout v roce 2024.

ODKDY JE NAŘÍZENÍ V PLATNOSTI?

GDPR platí ode dne 25. května 2018.

KONTEXT

Další informace viz:

• Reforma pravidel EU pro ochranu údajů (Evropská komise)
• Evropská pravidla ochrany údajů (Evropská komise)
• Podle zprávy Komise evropské předpisy o ochraně údajů posilují postavení občanů a vyhovují potřebám digitálního věku – tisková zpráva (Evropská komise)
• Reforma ochrany údajů – tisková zpráva (Evropská komise)
• Ochrana osobních údajů (Evropská komise).

Po vypuknutí epidemie COVID-19 a zavedení opatření k řešení dopadu této krize Komise přijala:

• Doporučení Komise (EU) 2020/518 ze dne 8. dubna 2020 o společné sadě nástrojů Unie pro využití technologií a dat k boji proti krizi COVID-19 a ukončování souvisejících mimořádných opatření, zejména pokud jde o mobilní aplikace a využívání anonymizovaných dat o mobilitě.

HLAVNÍ DOKUMENT

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1–88).

Následné změny nařízení (EU) 2016/679 byly začleněny do původního znění. Toto konsolidované znění má pouze dokumentární hodnotu.

SOUVISEJÍCÍ DOKUMENTY

Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89–131).

Viz konsolidované znění.

Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39–98).

Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, 31.7.2002, s. 37–47).

Viz konsolidované znění.

Poslední aktualizace 07.01.2022