GDPR – velká výzva Nejkomplexnější právní úprava osob.údajů na světě GDPR •General Data Protection Regulation • •GDPR nařízení bylo přijato v dubnu 2016, Platit začíná až od 25. května 2018. GDPR •Cíl: dosažení jednotnosti a konzistentnosti pravidel ochrany osobních údajů ve všech členských státech EU •Forma: přímo účinné nařízení. • •(Členské státy tak normu nemusí transponovat do svých právních řádů, vnitrostátní právní předpisy je potřeba pouze adaptovat tak, aby byly s nařízením v souladu. V případě rozporu vnitrostátního práva s přímo účinným předpisem EU, má pak dle zásady tzv. aplikační přednosti evropského práva nařízení vždy přednost.) GDPR •automaticky nahradí nejen směrnici 95/46/ES, která dnes upravuje ochranu osobních údajů na úrovni Evropské unie, ale i náš zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavní změny •Zpřísnění •Vyšší (až astronomické) sankce • •Nové nařízení klade na správce údajů vyšší nároky také při získávání souhlasu se zpracováním. •bude vyžadován souhlas svobodný, určitý, informovaný a jednoznačný. •Žádost o vyjádření souhlasu však bude třeba formulovat srozumitelným a jednoduchým jazykem. • Souhlas se zpracováním •Mimo obchodní podmínky – zvlášť ! • •Nesmí vázat poskytnutí služeb na souhlas • •pakliže nejsou pro tuto službu nezbytné • •Za děti mladší 16 let budou moci dát souhlas v souvislosti s poskytováním online služeb pouze jejich zákonní zástupci. •Pozor, členské státy mohou vlastní úpravou stanovit i nižší věk, minimum je však 13 let. •Rozšíření definice osobních a citlivých údajů •Definice citlivých údajů byla rozšířena o genetická a biometrická data. * Zesílená práva subjektů údajů •GDPR přináší celou řadu nových práv pro subjekty údajů, například právo být zapomenut - Google vs. Španělsko. •Na jeho základě mohou subjekty požadovat, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jich týkají. (typicky v případech, kdy subjekt odvolá svůj souhlas a není dán jiný právní důvod pro zpracování.) • Oznamovací povinnost v případě porušení zabezpečení •Správce bude mít novou povinnost ohlašovat porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od chvíle, kdy se o incidentu dozvěděl. •V některých případech bude správce povinen informovat i subjekty údajů. Tato povinnost se neuplatní, jestliže by incident nepředstavoval riziko pro práva a svobody subjektů. • •ÚOOÚ – se bude hlásit jen to zásadní – aplikační praxe se vytvoří • Pověřenec pro ochranu osobních údajů •Správce nebo zpracovatel bude mít povinnost jmenovat pověřence pro ochranu osobních údajů. • • •….a to zejména v případech, kdy zpracování provádí orgán veřejné moci nebo veřejný subjekt či hlavní činnost správce spočívá ve zpracování údajů v podobě pravidelného systematického monitorování velkého množství subjektů Pověřenec – externista? •Pověřenec by měl disponovat dostatečnou znalostí a profesními zkušenostmi v oblasti, za kterou bude odpovědný. • •Může jím být jak zaměstnanec správce, tak externí dodavatel služeb. Děkuji za pozornost a nashledanou! *