GDPR nařízení výrazným způsobem posiluje práva fyzických osob v oblasti ochrany osobních údajů. Tomu také odpovídá odůvodnění vzniku takového nařízení, které hned v úvodním odstavci (1) nařízení ve zmíněném odůvodnění odkazuje na Listinu základních práv Evropské unie.

(1) Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem. Ustanovení čl. 8 odst. 1 Listiny základních práv Evropské unie a čl. 16 odst. 1 Smlouvy o fungování Evropské unie přiznávají každému právo na ochranu osobních údajů, které se jej týkají.

Proč vlastně GDPR nařízení vzniklo a co je jeho cílem je uvedeno ve (2) odstavci v odůvodnění, jak je uvedeno v nařízení.

(2) Zásady a pravidla ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů by bez ohledu na jejich státní příslušnost nebo bydliště měly respektovat jejich základní práva a svobody, zejména právo na ochranu osobních údajů. Cílem tohoto nařízení je přispět k dotvoření prostoru svobody, bezpečnosti, práva a hospodářské unie, k hospodářskému a sociálnímu pokroku, k posílení a sblížení ekonomik v rámci vnitřního trhu a k dobrým životním podmínkách fyzických osob.

GDPR upravuje jakým způsobem se musí zacházet s osobními údaji během jejich zpracování. Zpracování je nutné chápat jako jakoukoli operaci s osobními údajů. Pro představu zde uvádíme vybrané (nejedná se o úplný seznam) činnosti, které jsou považovány za zpracování osobních údajů:

  • zaznamenání
  • vyhledání
  • seřazení
  • shromáždění
  • uložení
  • použití
  • pozměnění

V GDPR nařízení je klíčovým prvkem osobní údaj, který je definován, jako jakákoliv informace o fyzické osobě, pokud lze tuto informaci použít k identifikaci konkrétní osoby. Zatímco osobní údaj není přesně v GDPR nařízení definován a za osobní údaj je dle nařízení považována každá informace, podle které je možné konkrétní osobu identifikovat, tzv. zvláštní kategorie údajů, jinými slovy citlivé osobní údaje, jsou v nařízení přesně vydefinovány a na správce nebo zpracovatele osobních údajů zvláštní kategorie se vztahují mimo povinností pro osobní údaje i další povinnosti z GDPR vyplývající.

Pro správnou implementaci GDPR nařízení v organizaci je nutné k organizaci přistupovat podle způsobu, jakým zachází s osobními údaji. Podle způsobu zacházení s osobními údaji GDPR rozlišuje:

  • Správce osobních údajů – držitel údajů, ten kdo určuje účel a způsob zpracování osobních údajů
  • Zpracovatel – zpracovává, provádí činnosti nad osobními údaji, jménem správce
  • Subjekt údajů – jedná se o fyzikou osobu, které se údaje týkají

Více o GDPR, implementaci, způsobu ochrany a dodržování nařízení se dozvíte nejen prostřednictvím našich pravidelných e-learning školení, ale také v rámci poradenských úkolů, které z GDPR nařízení vyplývají pro osobu pověřence (DPO).

Kam dál …