U pacientov liečených rekombinantním eritropoetínou eritropoetínou rekombinantním eritropoetínou eritropoetínou eritropoetínou eritropoetínou eritropoetínou eritropoetínou eritropoetínou eritropoetínou eritropoetínouObecné nařízení o ochraně údajů (GDPR)stanoví pokyny, které zahrnují různé aspekty ochrany údajů a soukromí jednotlivců v rámci Evropské unie (EU) a Evropského hospodářského prostoru (EHP), včetně toho, jak by organizace měly nakládat, zpracovávat a chránit osobní údaje. Níže je uveden přehled hlavních prvků pokynů GDPR:

1.Působnost a použitelnost

Platí na:

• Všechny organizaceSpolečnosti (včetně neziskových organizací a vlád), které zpracovávají osobní údaje fyzických osob v EU nebo EHP, bez ohledu na to, kde se organizace nachází.
• Správci dat(které určují účel a prostředky zpracování) aZpracovatele dat(které zpracovávají údaje jménem správců).

Vztahuje se na jakýkoli typ zpracování osobních údajů, včetně shromažďování, zaznamenávání, uchovávání, změny, vyhledávání, konzultace, používání, zveřejnění, vymazání a ničení.

2.Klíčové definice

• Osobní údajeJakékoli informace, které mohou přímo nebo nepřímo identifikovat jednotlivce (např. jméno, e-mailová adresa, IP adresa, údaje o poloze atd.Ustanovení čl.
• Citlivé osobní údajeZvláštní kategorie údajů, které vyžadují dodatečnou ochranu, jako je rasa nebo etnický původ, politické názory, náboženská přesvědčení, zdravotní údaje, biometrická data a sexuální orientace.
• Subjekt údajůOsoba, které osobní údaje patří.
• Správce datSubjekt, který určuje účely a prostředky zpracování osobních údajů.
• Zpracovatel datSubjekt, který zpracovává údaje jménem správce.

3.Zásady zpracování údajů

GDPR je založeno na následujícíchSedm klíčových principůzpracování údajů:

1. Zákonnost, spravedlnost a transparentnostÚdaje musí být zpracovávány zákonně, spravedlivě a transparentním způsobem. Jednotlivci musí být informováni o zpracování svých údajů.
2. Omezení účeluOsobní údaje musí být shromažďovány pro konkrétní, explicitní a legitimní účely a nesmí být používány způsobem neslučitelným s těmito účely.
3. Minimalizace datShromážděné údaje musí být adekvátní, relevantní a omezeny na to, co je nezbytné pro zamýšlený účel.
4. PřesnostOsobní údaje musí být přesné a průběžně aktuální.
5. Omezení skladováníÚdaje nesmí být uloženy déle, než je nezbytné pro účely, pro které byly shromážděny.
6. Integrita a důvěrnostÚdaje musí být zpracovávány bezpečně a zajišťují ochranu před neoprávněným nebo nezákonným přístupem, ztrátou nebo poškozením.
7. OdpovědnostSprávci údajů jsou zodpovědní za zajištění dodržování výše uvedených zásad a musí být schopni prokázat soulad.

4.Právní základy zpracování

Osobní údaje mohou být zpracovávány pouze tehdy, pokud existuje platný právní základ, jako je:

• SouhlasJednotlivec udělil výslovný souhlas pro konkrétní účel.
• SmlouvaZpracování je nezbytné pro plnění smlouvy s jednotlivcem.
• Právní povinnostZpracování je nutné v souladu se zákonem.
• Životně důležité zájmyZpracování je nezbytné k ochraně něčího života.
• Veřejný úkolZpracování je nezbytné k plnění úkolu ve veřejném zájmu.
• Oprávněné zájmyZpracování je nezbytné pro oprávněné zájmy správce údajů, pokud nepřevažují práva jednotlivce.

5.Práva subjektu údajů

GDPR uděluje jednotlivcům několik práv týkajících se jejich osobních údajů:

1. Právo být informovánJednotlivci mají právo vědět, jak jsou jejich údaje shromažďovány, používány a sdíleny (prostřednictvím zásad ochrany osobních údajů).
2. Právo na přístupJednotlivci mohou požádat o přístup ke svým osobním údajům a způsob jejich zpracování.
3. Právo na opravuJednotlivci mohou požádat o opravu nepřesných nebo neúplných údajů.
4. Právo na vymazání ("Právo být zapomenutý")Jednotlivci mohou za určitých okolností požádat o vymazání svých osobních údajů (např. když údaje již nejsou potřebné).
5. Právo omezit zpracováníJednotlivci mohou požádat o omezení zpracování jejich údajů za určitých podmínek.
6. Právo na přenositelnost datJednotlivci mohou požádat, aby jejich data byla přenesena do jiné organizace nebo přímo sami sobě ve strukturovaném, běžně používaném a strojově čitelném formátu.
7. Právo vznést námitkuJednotlivci mohou vznést námitku proti zpracování svých osobních údajů pro určité účely, včetně přímého marketingu.
8. Související s automatizovaným rozhodováním a profilovánímJednotlivci mají právo nepodléhat rozhodnutí založenému výhradně na automatizovaném zpracování, včetně profilování, pokud nejsou splněny určité podmínky.

6.Posouzení dopadů na ochranu údajů (DPIA)

DPIA musí být prováděny, pokud je pravděpodobné, že činnosti zpracování údajů vedou k vysokému riziku pro práva a svobody jednotlivců. To se obvykle vztahuje na rozsáhlé zpracování, profilování nebo zpracování citlivých údajů.

7.Oznámení o porušení údajů

Organizace musí informovat příslušný orgán pro ochranu osobních údajů (ve Spojeném království se jedná o kancelář informačního komisaře nebo ICO) v rámci72 hodinpoznat porušení ochrany osobních údajů, které představuje riziko pro práva a svobody jednotlivců. Pokud je pravděpodobné, že porušení povede k vysokým rizikům, musí být rovněž informovány dotčené osoby.

8.Přenos dat mimo EU/EHP

Předávání osobních údajů do zemí mimo EU/EHP jsou povoleny pouze tehdy, pokud:

• Přijímající země nabízíPřiměřená úroveň ochranypodle stanovení Evropské komise.
• Vhodná záruka, jako jsouStandardní smluvní doložky (SCC)neboZávazná firemní pravidla (BCR), jsou na místě.
• Subjekt údajů poskytl výslovný souhlas.

9.Ochrana osobních údajů designem a výchozí

Organizace musí začlenit opatření na ochranu údajů od počátku jakéhokoli projektu nebo procesu, který zahrnuje zpracování osobních údajů. Tento princip je známý jakoSoukromí podle návrhu a ve výchozím nastaveníSoukromí musí být zohledněno ve fázi návrhu a po celý životní cyklus zpracování údajů.

Deset.Pověřenec pro ochranu údajů (DPO)

Pověřitel pro ochranu osobních údajů musí být jmenován, pokud:

• Organizace je orgánem veřejné moci.
• Základní činnosti zahrnují pravidelné a systematické monitorování jednotlivců ve velkém měřítku.
• Organizace zpracovává velké množství citlivých osobních údajů.

Odpovědnost pověřence pro ochranu údajů zahrnuje:

• Monitorování dodržování GDPR.
• Poradenství ohledně povinností ochrany osobních údajů.
• jednat jako kontaktní místo s orgány pro ochranu osobních údajů.

Jedenáct.Pokuty a sankce

Organizace, které nedodržují GDPR, mohou čelit značným pokutám:

• Až20 milionů eurnebo4% celosvětového ročního obratu společnostiPodle toho, co je vyšší, za nejzávažnější porušení.
• Menší porušení může vést k pokutám až do výše10 milionů EURnebo2% ročního obratuCože.

Dvanáct.Odpovědnost a vedení záznamů

Organizace musí uchovávat dokumentaci k prokázání souladu s GDPR, včetně:

• Záznamy o zpracovatelských činnostech.
• Politiky a postupy ochrany osobních údajů.
• DPIA v případě potřeby.
• Záznamy o žádostech a odpovědích subjektů údajů.

13.Požadavky na souhlas

Při spoléhání se na souhlas jako právní základ pro zpracování osobních údajů musí být dodržovány následující pokyny:

• Souhlas musí být udělen svobodně, konkrétní, informovaný a jednoznačný.
• Souhlas musí být udělen jasnou kladnou akcí (např. výběrem) a nikoli předem zaškrtnutými políčkami.
• Organizace musí být schopny prokázat, že souhlas byl získán.
• Jednotlivci musí mít právo kdykoli odvolat souhlas.

GDPR stanoví vysoké standardy ochrany osobních údajů a jeho cílem je poskytnout jednotlivcům větší kontrolu nad jejich osobními údaji. Dodržováním těchto pokynů mohou organizace zajistit dodržování a vyhnout se riziku sankcí.