GDPR

Z PWiki
Verze z 18. 10. 2019, 17:07, kterou vytvořil Poutnik (diskuse | příspěvky) (Založena nová stránka s textem „== Co je GDPR == Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, kte…“)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Přejít na: navigace, hledání

Co je GDPR

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která má zvýšit ochranu osobních dat občanů. GDPR začíná platit 25. 5. 2018!

Cíle GDPR

 • Modernizovat - soulad s technologii
 • Sjednotit pro celou EU
 • Zvýšit ochranu fyzických osob
Bez souhlasu můžeme zpracovávat jen data, která jsou ze zákona povinná.

Co požaduje náš zákon, na to souhlas mít nemusíme - vše se řídí jen českými zákony.

Osoby

Správce údajů

Určuje kdo má k čemu přístup, jak se s údaji nakládá, má zodpovědnost za správnost postupů vzhledem ke směrnici. Je vhodné mít s ním vyjasněný právní vztah písemně.

Zpracovatel údajů

Zpracovává údaje, třídí je, pracuje s nimi. Je vhodné mít s ním vyjasněný právní vztah písemně.

Subjekt údajů

Dříve osoby. Jedná se o koncového člověka, o kterém sbíráme údaje.


Legislativa

Zákony České republiky jsou nadřazeny nařízení Evropské unie (GDPR)

Hierarchie

(Sestupně)

 1. Zákon ČR
 2. Nařízení EU (GDPR)
 3. Veřejný zájem - novináři, televize, rádia...
 4. Oprávněný zájem (pro použití typu oprávněného zájmu je nutné vypracovat balanční test)
 5. Zájem organizace - zde je nutný souhlas subjektu údajů, který JE ODVOLATELNÝ

Směrnice pro práci s osobními údaji

Každý by si měl vytvořit svoji. Je důležité pamatovat na základní otázky:

 • JAK se bude s údaji pracovat?
 • KDE to bude uložené
 • KDE se s tím bude pracovat
 • KDO bude údaje vidět a pracovat s nimi


Otázky k tvorbě směrnice a kontroly ochrany osobních údajů

 • Znáte svá data?
 • Kde jsou?
 • Proč je zpracováváte?
 • Kdo co s nimi dělá?
 • Znáte rizika?
 • Umíte rizika vyřešit?
Ideální je nemít v žádných dokumentech data, která vysloveně nepotřebujeme!

Typy osobních údajů

 • Finanční (majetek, pohyby na účtu, účty, karty...)
 • Sociální (práce, nákupy, rodina, přátelé, zvyky, zájmy...)
 • Základní (jména, data narození, rodná čísla, adresy, fotky, biometrika...)
 • Zdravotní (geny, nemoci, léky, nemoci...)
 • ICT (pohyby po virtuálním prostoru, IP adresy, cookies, emaily, přístupová hesla...)

Souhlas

Je nutné mít přesně popsáno a speciálním podpisem (tzn. nemůže souhlas nemůže být vnímán jako podpis smlouvy, přihlášky apod., ale musí být speciálně odsouhlaseny např. v dodatku pod čarou jednotlivé položky) odsouhlaseno:

 • Jasně a přesně identifikovaná data, která chceme zpracovat
 • Jak budou data zpracovávána, kde budou uložena
 • Proč data zpracováváme
 • Kdo k datům bude přistupovat
Souhlasy musíme mít i od dětí ve věku, kdy jsou schopny posoudit důsledky svého jednání. V současné době národní legislativa není vypracována, ale nejspíše se bude jednat o věkovou hranici 15 let.
V případě neudělení souhlasu a následném nepřijetí subjektu do organizace je nutné uvést jasný důvod (vztahující se k činnosti organizace). Tedy buď s ohledem na platné zákony ČR (EU), nebo s ohledem např. na bezpečnost práce, zdravotní rizika, dohledatelnost zákonných zástupců apod. (chci vědět medikaci, jméno, příjmení dítěte a kontakt na rodiče, ale už nepotřebuji vědět sexuální orientaci a náboženské vyznání).

Podoba souhlasu

 • Svobodný (dobrovolný)
 • Transparentní (k čemu souhlas je, co reálně bude jeho funkcí - lze tím odůvodnit nepřijmutí člena - např. nejsme schopni zajistit oddělenou fotodokumentaci, bezpečnost dítěte, když neznám medikaci apod.)
 • Informovaný (subjekt dostal předem všechny informace - o rozsahu údajů, komu mohou být zpřístupněny - např. hlavnímu spolku - poučení o přístupu k údajům, právu na opravu a výmaz - včetně poučení o důsledích takového výmazu) a jednoznačný
 • Udělen prohlášením (je často neprokazatelné) nebo zjevným potvrzením (písemně, skrze e-maily)
 • Subjekt údajů musí učinit akci (zaškrtnout souhlas)

Hlavní zásady

 • Regulovaná data (osobní údaje, citlivé osobní údaje, pseudonymizace)
 • Transparentnost a informovaný souhlas
 • Posílená práva subjektů dat
 • Požadavky na ochranu dat (jak se řeší zabezpečení, chce to posílit bezpečnost s nárůstem členů, povahy práce apod. - důvěrnost, dostupnost, integrita - zajistit proces neustálého zabezpečování a testování)
 • Odpovědnost a řízení rizik (není nutné mít pověřence pro ochranu osobních údajů a není nutné mít záznamy o činnostech zpracování)
 • Hlášení bezpečnostních incidentů (jakékoli porušení zabezpečení ochrany osobních údajů, bez odkladu nutno hlásit Úřadu pro ochranu osobních údajů do 72 hodin)


Principy a fáze ochrany osobních údajů

 1. Posuzovat (citlivost, souvislosti, rizika)
 2. Chránit (zajistit neustálou ochranu)
 3. Odhalovat (detekovat odchylky a porušení)
 4. Hlásit (analyzovat a ohlásit)


Incident management

 1. Útok
 2. Detekce incidentu
 3. Ohlášení incidentu (úřadu a subjektům)


Detekce problému

 1. Kategorizace (čeho všeho se to týká)
 2. Zastavení úniku dat
 3. Komunikace (interně i externě)
 4. Obnovení dat
 5. Ponaučení se

Doporučená opatření před zavedením GDPR

Zrušit sběr zbytečných dat / zpracování dat
Získat souhlasy
Změnit procesy, směrnice
Vyřešit technická a organizační opatření
Omezení přístupu uživatelů k menšímu množství dat
Poučení uživatelů dat
Detekce incidentů

Požadavky GDPR

Právo výmazu
Právo přenositelnosti
Získávání informovaného souhlasu subjektů
Předávání údajů do třetích zemí (mimo Evropskou unii)
Provádění analýz rizik

GDPR - spolek - fyzické osoby

 • Posouzení vlivu na ochranu osobních údajů - jak je zpracovávání osobních údajů rizikové pro fyzické osoby
 • Povinnost ohlašování porušení bezpečnostních údajů dozorovanému úřadu do 72 hodin
 • Zaměstnanci - zpracovávání je na základě zákonných požadavků (zákoník práce + sociální a zdravotní pojištění)
 • Zpracovávání údajů je možné bez souhlasu na základě zvláštního zákona (zákoník práce, zákon o účetnictví, o ochraně veřejného zdraví, o místních poplatcích...)
 • Členové - na základě souhlasu ke zpracování osobních údajů pro účely činnosti spolku


Transparentní účet

 • Je nutné uvést, že je účet transparentní
 • Je nutné uvést, že kdo nechce platit na transparentní účet, ať se domluví individuálně
 • Variabilní symbol nesmí být rodné číslo
 • Není možné klienty vyzývat k uvedení jména / identifikátoru subjektu + účelu platby do popisu platby
 • Ideální je rozdat speciální variabilní symboly pro konkrétní osoby a mít párovací soubor v soukromí


Fotografie

 • Při odvolání souhlasu musíme vymazat veškeré fotografie z internetu i záloh
 • Pokud jde o pevná média rozdaná účastníkům akce, nemusíme je sbírat

Přihláška do organizace

Měla by obsahovat veškeré informace o tom co kam se za osobní informace dostává, jak se s nimi nakládá a poučení o tom, co se děje při neposkytnutí souhlasu a při odvolání souhlasu.

Příklad přihlášky do organizace

Přihlášky na akce

Jak je to s přihláškami na akce? Musí být nějak speciální?

Nemusí a neřeší znovu poučení a souhlasy k nakládání s osobními údaji, neboť to řeší již sama přihláška do organizace (přihláška na tábor pro členy řeší hlavně závazné přihlášení, že dítě pojede, rodič zaplatí, jak je řešeno případné storno a že rodič aktualizuje údaje včetně zdravotních údajů , které se ale již zpracovávají na základě poučení z přihlášky do organizace). Přihlášky na tábory s novým poučením jsou potřeba pro nečleny, tzn. pro děti, co jedou jen na tábor, nebo z jiného důvodu nemají členskou přihlášku do organizace. Pak by měla přihláška na tábor obsahovat vše, co přihláška do organizace. (dle Skautské křižovatky)

Více ke konkrétním dotazům na poli organizacích pracující s mládeží naleznete na Skautské křižovatce