Úvod
Blog
GDPR – jak postupovat?

GDPR – jak postupovat?

Blog
Zajímavé články
Život v agentuře
Oranžový megafon s ikonkou srdce vycházející z něj na žlutém pozadí vedle červených a fialových geometrických tvarů.
Vytvořeno
Aktualizováno
22.11.2019
Doba čtení:
5 min čtení

GDPR je poslední týdny snad nejčastěji skloňovaná zkratka. V plném znění General Data Protection Regulation je revoluční legislativou EU, která si klade za cíl výrazně zvýšit ochranu osobních údajů občanů. Co to s sebou přináší za opatření?

Základní informace o GDPR

GDPR bylo schváleno a přijato v dubnu 2016 a v platnost u nás vstoupí 25. 5. 2018. 25. květen působí jako veliký strašák pro mnohé instituce, obchody a subjekty. GDPR se týká totiž všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. EU se snaží sjednotit toto nařízení tak, aby mělo univerzální použitelnost ve všech členských státech. Hlavním cílem je lepší ochrana osobních údajů a kontrola nad tím, co se s údaji děje.

GDPR začne v celé EU platit jednotně právě od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zahájení je naplánováno až na polovinu příštího roku z toho důvodu, aby měli všichni dostatečný čas na přípravu a zrevidování svých informačních systémů.

Kompletní znění GDPR v češtině

Osobní údaje a GDPR

Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.



Patří sem tedy následující:

  • Jméno, pohlaví, věk a datum narození.
  • Osobní stav.
  • Fotografický záznam.
  • Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.
  • Nově sem bude patřit tedy e-mail, IP adresa a cookie v zařízení uživatelů.

Do kategorie citlivých údajů spadají genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto citlivých osobních údajů podléhá tedy mnohem přísnějšímu režimu, než je tomu u ostatních obecných údajů.



GDPR květen 2018

Na koho se tedy GDPR vztahuje?

  • Shromažďovatelé a zpracovatelé osobních údajů občanů EU (firmy, státní instituce, neziskové organizace atd.).
  • Všechny, kdo provádí analytiku návštěvnosti webů/eshopů a aplikací.
  • I na subjekty, které vystupovaly pouze jako správci dat (např. naše firma SHEAN, kde mají data uloženy e-shopy).
  • Díky tomu, že platí napříč celou EU, i když působím, analyzuji apod. pouze v zahraničí (EU), tak je platná i pro mě.

Povinnosti vyplývající z legislativy GDPR

  1. Povinnost dokumentovat, jak data zpracovávám.
  2. Zpracovávat pouze ta data, která jsou k danému účelu potřebná.
  3. Pokud si občan zažádá o výpis dat, musí mu daný subjekt poskytnout veškerá jeho data co má k dispozici, ve strukturované podobě a nejlépe online.
  4. Pokud občan vysloví námitku, držitel dál nemá možnost tyto data zpracovávat (kromě závažných a opodstatněných důvodů) a musí je neodkladně odstranit.
  5. Pokud je podána námitka na zpracování údajů, musí být v uložišti těchto údajů znemožněno s nimi dále pracovat (i je měnit) a musí být označeny.
  6. Povinnost informovat o úniku osobních údajů, případně narušení jejich bezpečnosti do 72 hodin od chvíle kdy se o tom jejich držitel dozvěděl.
  7. Pravděpodobně osobní data šifrovat (nejasnosti viz implementace ochrany dat atd.).
  8. Pseudoanonymizace dat (sbíraní dalších dat o občanovi bez možnosti si je spojit s konkrétní osobou).
  9. Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
  10. Pokud bude chtít např. provozovatel eshopu údaje občana předat k marketingovému zpracování (nejen jinému subjektu), musí k tomu mít výslovný souhlas, který nebude podmíněn využitím služby, tzn. mohu nakoupit, i když nesouhlasím se zpracování osobních údajů.

DPO = Pověřenec pro ochranu osobních údajů

Ve spojitosti s GDPR je často zmiňován také DPO. O koho se ale jedná? Jmenování tzv. pověřence pro ochranu osobních údajů (Data Protection Officer) bude důležitým pilířem prokazování dodržování GDPR.

Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost jmenovat pověřence nastává v následujících případech:

  • Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů) – banky, nemocnice.
  • Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů – využití mailingu.
  • Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů – sledování polohy.

V každém případě by měl být správci nebo zpracovateli nápomocen právě DPO, který by měl mít odborné znalosti v oblasti právních předpisů a postupů týkajících se ochrany údajů a měli by být schopni

plnit své povinnosti a úkoly nezávislým způsobem

.

Pověřenec

může být klidně jmenovaný i pro více subjektů a on sám nenese žádnou osobní odpovědnost

za případné nedodržování GDPR

!



Kdo je DPO u GDPR

Co hrozí, pokud nebudeme dodržovat podmínky GDPR?

Vzhledem k tomu, že je nastaven dostatečný časový limit na přípravu, GDPR zavádí

za nedodržování vysoké pokuty a sankce. Maximální výše sahá do limitu 20 000 000 EUR, případně 4 % z celkového ročního obratu společnosti.

Záležet bude na více faktorech, ale musíte počítat s tím, že vysoká sankce může být udělena i menší společnosti s málo zaměstnanci! Stejně tak

mohou firmy žalovat fyzické osoby

,

které si mohou nárokovat náhradu škody v případě hmotné i nehmotné újmy.

Jak máme řešit GDPR?

Vzhledem k tomu, že GDPR se netýká pouze eshopu, nebo webu, ale celé vaší firmy, prosíme všechny naše klienty, aby celé přípravě dali vysokou prioritu a spojili se přímo se specializovanou firmou zabývající se GDPR, případně svými právníky.



Naše firma

SHEAN bude GDPR samozřejmě řešit s ohledem na naše povinnosti

, které z GDPR vyplývají a zapracovávat vaše požadavky, dle toho jak budete mít GDPR implementováno ve vaší firmě.


Nechte si posílat veškeré naše novinky do e-mailu.
Odběrem novinek souhlasím se zpracováním Osobních údajů
Gratulujeme, právě jste se přihlásili k odběru novinek.
Něco se pokazilo, zkuste zadat email znovu a odeslání opakujte.

Čtěte náš {blog}

Nejnovější informace z online světa i z naší firmy

Blog
Zajímavé články
Život v agentuře

Olympijská horečka v marketingu? Pozor, ať vás nestojí víc, než přinese

Velké sportovní události lákají značky k tematickým kampaním. U olympijských her ale může podobná komunikace přinést víc problémů než užitku.

4.2.2026
Číst článek
Blog
Zajímavé články
Život v agentuře

Instagram, Threads a přísnější pravidla pro účty

Meta přichází se zásadními novinkami pro rok 2025. Instagram se začne indexovat ve vyhledávačích, Threads dostává prostor pro reklamu a zároveň přicházejí přísnější pravidla pro neaktivní účty.

8.8.2025
Číst článek
Blog
Zajímavé články
Život v agentuře

EAA: Co vás čeká s novou směrnicí od června 2025?

Digitální přístupnost se stává klíčovým prvkem moderního online prostředí. Evropská unie proto zavádí novou směrnici o přístupnosti webu a digitálních služeb (European Accessibility Act, EAA), která vstoupí v platnost v červnu 2025. Jejím cílem je zajistit, aby digitální služby byly dostupné pro všechny, včetně osob se zdravotním postižením.

4.4.2025
Číst článek
Všechny články

Podívejte se, s kým jsme partneři