Odpovědi na časté otázky
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě. GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni musí upravit způsob zpracovávání osobních údajů fyzických osob.
GDPR bylo přijato v dubnu 2016, ale platit začíná až od 25. května 2018. Přináší dosud největší revoluci v ochraně osobních údajů s cílem hájit co nejvíce digitální práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.
Souhlas se zpracováním osobních údajů podle GDPR znamená, že pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že fyzická osoba udělila souhlas se zpracováním svých údajů svobodně a tento souhlas byl konkrétní, informovaný, jednoznačný a ničím nepodmíněný. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen. A také má právo tento souhlas kdykoliv, bez uvedení důvodu, odvolat a správce pak musí zpracování jeho osobních údajů pro daný účel ukončit.
Souhlas je jen jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a podle GDPR z hlediska praktické použitelnosti až tím posledním. Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat i pro jiné účely, pro které využije jiný právní důvod zpracování, jako je plnění zákonné povinnosti, plnění smlouvy nebo oprávněný zájem správce.
Jedná se především o tato práva:
- právo na přístup k osobním údajům
- právo na opravu
- právo na výmaz („právo být zapomenut“)
- právo na omezení zpracování osobních údajů
- právo na oznámení opravy nebo výmazu osobních údajů nebo omezení zpracování
- právo na přenositelnost
- právo vznést námitku
- právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování
- právo na oznámení případů porušení zabezpečení osobních údajů
- právo na odvolání souhlasu se zpracováním osobních údajů