GDPR: Přehled

Regulace: EU 2016/679 Účinnost: Průběžně (od 25.5.2018) Oblast: Ochrana osobních údajů

---

Co je GDPR?

GDPR (General Data Protection Regulation) je nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. Platí pro všechny organizace zpracovávající data rezidentů EU.

Základní pojmy

Pojem	Definice
Osobní údaj	Jakákoliv informace identifikující fyzickou osobu
Subjekt údajů	Fyzická osoba, jejíž data zpracováváte
Správce (Controller)	Určuje účely a prostředky zpracování
Zpracovatel (Processor)	Zpracovává data jménem správce
DPO	Data Protection Officer (pověřenec)
DSAR	Data Subject Access Request
DPIA	Data Protection Impact Assessment

Právní tituly zpracování

#	Právní titul	Popis	Příklady
1	SOUHLAS (Consent)	Explicitní opt-in, kdykoliv odvolatelný	Marketing, cookies, newsletter
2	SMLOUVA (Contract)	Nezbytné pro plnění smlouvy	Dodání produktu/služby
3	PRÁVNÍ POVINNOST (Legal obligation)	Zákon vyžaduje zpracování	Daně, účetnictví, regulatorní reporty
4	OPRÁVNĚNÝ ZÁJEM (Legitimate interest)	Váš zájem vs. práva subjektu (LIA assessment)	Analytics, fraud prevention, direct marketing
5	ŽIVOTNĚ DŮLEŽITÝ ZÁJEM (Vital interest)	Ochrana života subjektu	Zdravotní nouze
6	VEŘEJNÝ ZÁJEM (Public task)	Výkon veřejné moci	Státní správa

Práva subjektů údajů

Právo	Článek	SLA	Popis
Přístup	Art. 15	30 dní	Export všech dat o subjektu
Oprava	Art. 16	30 dní	Oprava nepřesných dat
Výmaz	Art. 17	30 dní	„Right to be forgotten”
Omezení	Art. 18	30 dní	Pozastavení zpracování
Přenositelnost	Art. 20	30 dní	Export v machine-readable formátu
Námitka	Art. 21	30 dní	Námitka proti zpracování
Automatizované rozhodování	Art. 22	30 dní	Právo na human review

DSAR Workflow

Data Breach Notification

Timeline

Kdy notifikovat?

Situace	Notifikace ÚOOÚ	Notifikace subjektů
Šifrovaná data ukradena	Ne	Ne
Nešifrovaná PII ukradena	Ano (72h)	Ano (asap)
Zdravotní data breach	Ano (72h)	Ano (asap)
Interní přístup bez oprávnění	Závisí na rozsahu	Závisí na riziku

Sankce

Kategorie	Pokuta
Těžké porušení	až 20M EUR nebo 4% celosvětového obratu
Střední porušení	až 10M EUR nebo 2% obratu

Příklady:

• Meta: 1.2B EUR (2023) - transfer dat do USA
• Amazon: 746M EUR (2021) - cookies
• Google: 90M EUR (2022) - cookies ve Francii

---

Další kroky

1. Zkontrolujte data mapping
2. Nastavte DSAR workflow
3. Projděte checklist

---

Zdroje

• ÚOOÚ - Úřad pro ochranu osobních údajů
• GDPR text (EUR-Lex)
• EDPB Guidelines

---

Upozornění

Tento obsah má informační charakter a nepředstavuje právní poradenství. Pro konkrétní situaci vaší organizace doporučujeme konzultaci s kvalifikovaným právníkem.

Co dál?

Potřebujete pomoc s implementací?

Nabízíme bezplatnou 15minutovou konzultaci. Bez závazku, bez prodejního tlaku.

Domluvit hovor (15 min) → Otestovat připravenost (5 min) →