Účto Voršilka

Opletalova 1535/4
110 00 Praha 1
• • •
t: 776 053 934
e: info@ucto-vorsilka.cz



Ekonomický systém
POHODA


(c) 2014
Design: Branický grafický ateliér
a Tvorba INTERNETOvých stránek

Základní informace o GDPR


Datum: 13. února 2018

Autor: Bc. Jiří Voršilka, Praha

Ačkoli činnosti pověřence GDPR nejsou účetní služby a naše účetní firma je neposkytuje, musím počítat s tím, že zákazníci se mě na GDPR budou ptát. Z tohoto důvodu jsem se dne 30.1.2018 zúčastnil semináře na toto téma. Přednášela paní Mgr. Darina Kocová ve společnosti TSM.


GDPR je zkratka pro General Data Protection Regulation (Obecné nařízení o ochraně osobních údajů). I bez vnitrostátního zákona bude pro občany Evropské unie závazné od 25.5.2018.

Za osobní údaj se v této souvislosti považuje jakákoli informace, která se týká identifikované nebo identifikovatelné fyzické osoby. Nařízení se týká i podnikajících fyzických osob, právnických osob však ne.

Mezi základní osobní údaje patří například jméno, pohlaví, datum narození, adresa, kontaktní údaje atd. Zvláštní osobní údaje jsou obzvlášť citlivé a řadíme mezi ně například rasový nebo etnický původ, politické přesvědčení, vyznání, členství v odborech, zdravotní stav apod.

Fyzická nebo právnická osoba, která potřebuje k určitému účelu mít k dispozici osobní údaje jiných fyzických osob – například zákazníků, zaměstnanců apod. – se pro tyto účely nazývá správcem. Nese hlavní odpovědnost za to, že osobní údaje nebudou zneužity.

Zpracovatelem je osoba, která zpracovává osobní údaje správce podle jeho pokynů. Jde například o účetní firmu, která poskytuje svým zákazníkům služby v oblasti vedení účetnictví a zpracování mezd. Správce nemá povinnost pověřit zpracováním jinou osobu a může osobní údaje zpracovávat sám.

Fyzická osoba, která osobní údaje poskytuje, je subjekt údajů.

Souhlas se zpracováním osobních údajů již nebude hlavním právním základem. Bude muset být svobodný, konkrétní, informovaný, jednoznačný a učiněný aktivním jednáním subjektu a u citlivých osobních údajů bude muset být výslovný. Za děti mladší 16 nebo 13 let (podle právní úpravy konkrétní členské země) bude muset souhlas udělit zákonný zástupce. Subjekt bude mít právo kdykoli souhlas odvolat.

Bez souhlasu lze osobní údaje zpracovávat pouze na základě plnění či uzavření smlouvy, právní povinnosti, životně důležitého zájmů, veřejného zájmu, výkonu veřejného moci nebo oprávněného zájmu.

GDPR zavádí právo fyzických osob „být zapomenut“. Správce je povinen veškeré osobní údaje definitivně vymazat, jestliže pominul účel zpracování, byl odvolán souhlas a správce nemá jiný právní titul, subjekt vznesl oprávněnou námitku proti zpracování, osobní údaje byly zpracovány protiprávně, výmaz je podle českého nebo evropského práva povinný nebo se jedná o nabídku služeb informační společnosti dítěti.

Právo na přenositelnost (portabilitu) znamená, že subjekt je oprávněn dostat od správce všechny poskytnuté osobní údaje a předat je jinému správci. Správci si také můžou předat údaje sami.

Sankce za porušení Nařízení budou velmi vysoké, konkrétně do 10 milionů Euro nebo 2% z celosvětového ročního obratu za porušení většiny povinností a až 20 milionů Euro nebo 4% z celosvětového ročního obratu za zvlášť závažné porušení povinnosti.

Na druhou stranu lze počítat alespoň zpočátku s velkorysostí ze strany Úřadu pro ochranu osobních údajů. Také kontrol se plánuje spíše méně, neboť úřad má momentálně jen velmi málo kontrolorů. Budou chodit spíš na udání.

Myšlenka GDPR je podle mého názoru velmi dobrá, neboť lidé mají právo, aby jejich osobní údaje nebyly zneužívány. Určitou nepříjemností je, že GDPR se týká i velmi malých firem a jde o poměrně komplikovaný předpis, zejména z administrativního hlediska. Ale navzdory všemu jde o velmi nízkou daň za to, že se Češi mohou usadit v jakékoli členské zemi EU a prodávat své schopnosti na Západě. Rozhodně kvůli tomu po vystoupení ČR z EU netoužím.