Další
Navigace
KAPITOLA I Obecná ustanovení (1-4)
Článek 1. Předmět a cíleČlánek 2. Věcná působnostČlánek 3. Místní působnostČlánek 4. Definice
KAPITOLA II Zásady (5-11)
Článek 5. Zásady zpracování osobních údajůČlánek 6. Zákonnost zpracováníČlánek 7. Podmínky vyjádření souhlasuČlánek 8. Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnostiČlánek 9. Zpracování zvláštních kategorií osobních údajůČlánek 10. Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činůČlánek 11. Zpracování, které nevyžaduje identifikaci
KAPITOLA III Práva subjektu údajů (12-23)
Článek 12. Transparentní informace, sdělení a postupy pro výkon práv subjektu údajůČlánek 13. Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajůČlánek 14. Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajůČlánek 15. Právo subjektu údajů na přístup k osobním údajůmČlánek 16. Právo na opravuČlánek 17. Právo na výmaz („právo být zapomenut“)Článek 18. Právo na omezení zpracováníČlánek 19. Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracováníČlánek 20. Právo na přenositelnost údajůČlánek 21. Právo vznést námitkuČlánek 22. Automatizované individuální rozhodování, včetně profilováníČlánek 23. Omezení
KAPITOLA IV Správce a zpracovatel (24-43)
Článek 24. Předmět a cíle
Článek 25. Záměrná a standardní ochrana osobních údajůČlánek 26. Společní správciČlánek 27. Zástupci správců nebo zpracovatelů, kteří nejsou usazeni v UniiČlánek 28. ZpracovatelČlánek 29. Zpracování z pověření správce nebo zpracovateleČlánek 30. Záznamy o činnostech zpracováníČlánek 31. Spolupráce s dozorovým úřademČlánek 32. Zabezpečení zpracováníČlánek 33. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřaduČlánek 34. Oznamování případů porušení zabezpečení osobních údajů subjektu údajůČlánek 35. Posouzení vlivu na ochranu osobních údajůČlánek 36. Předchozí konzultaceČlánek 37. Jmenování pověřence pro ochranu osobních údajůČlánek 38. Postavení pověřence pro ochranu osobních údajůČlánek 39. Úkoly pověřence pro ochranu osobních údajůČlánek 40. Kodexy chováníČlánek 41. Monitorování schválených kodexů chováníČlánek 42. Vydávání osvědčeníČlánek 43. Subjekty pro vydávání osvědčení
KAPITOLA V Předávání osobních údajů do třetích zemí nebo mezinárodním organizacím (44-50)
Článek 44. Obecná zásada pro předáváníČlánek 45. Předání založené na rozhodnutí o odpovídající ochraněČlánek 46. Předávání založené na vhodných zárukáchČlánek 47. Závazná podniková pravidlaČlánek 48. Předání či zveřejnění údajů nepovolená právem UnieČlánek 49. Výjimky pro specifické situaceČlánek 50. Mezinárodní spolupráce v zájmu ochrany osobních údajů
KAPITOLA VI Nezávislé dozorové úřady (51-59)
Článek 51. Dozorový úřadČlánek 52. NezávislostČlánek 53. Obecné podmínky pro členy dozorového úřaduČlánek 54. Pravidla pro zřízení dozorového úřaduČlánek 55. PříslušnostČlánek 56. Příslušnost vedoucího dozorového úřaduČlánek 57. ÚkolyČlánek 58. PravomociČlánek 59. Zprávy o činnosti
KAPITOLA VII Spolupráce a jednotnost (60-70)
Článek 60. Spolupráce mezi vedoucím dozorovým úřadem a dalšími dotčenými dozorovými úřadyČlánek 61. Vzájemná pomocČlánek 62. Společné postupy dozorových úřadůČlánek 63. Mechanismus jednotnostiČlánek 64. Stanovisko sboruČlánek 65. Řešení sporů sboremČlánek 66. Postup pro naléhavé případyČlánek 67. Výměna informacíČlánek 68. Evropský sbor pro ochranu osobních údajůČlánek 69. NezávislostČlánek 70. Úkoly sboruČlánek 71. ZprávyČlánek 72. PostupČlánek 73. PředsedaČlánek 74. Úkoly předsedyČlánek 75. SekretariátČlánek 76. Důvěrnost
KAPITOLA VIII Právní ochrana, odpovědnost a sankce (77-84)
Článek 77. Právo podat stížnost u dozorového úřaduČlánek 78. Právo na účinnou soudní ochranu vůči dozorovému úřaduČlánek 79. Právo na účinnou soudní ochranu vůči správci nebo zpracovateliČlánek 80. Zastupování subjektů údajůČlánek 81. Přerušení řízeníČlánek 82. Právo na náhradu újmy a odpovědnostČlánek 83. Obecné podmínky pro ukládání správních pokutČlánek 84. Sankce
KAPITOLA IX Ustanovení týkající se zvláštních situací, při nichž dochází ke zpracování (85-91)
Článek 85. Zpracování a svoboda projevu a informacíČlánek 86. Zpracování a přístup veřejnosti k úředním dokumentůmČlánek 87. Zpracování národních identifikačních číselČlánek 88. Zpracování v souvislosti se zaměstnánímČlánek 89. Záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účelyČlánek 90. Povinnost mlčenlivostiČlánek 91. Zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými sdruženími
KAPITOLA X Akty v přenesené pravomoci a prováděcí akty (92-93)
Článek 92. Výkon přenesené pravomociČlánek 93. Postupy projednávání ve výboru
KAPITOLA XI Závěrečná ustanovení (94-95)
Článek 94. Zrušení směrnice 95/46/ESČlánek 95. Vztah ke směrnici 2002/58/ESČlánek 96. Vztah k dříve uzavřeným dohodámČlánek 97. Zprávy KomiseČlánek 98. Přezkum jiných právních aktů Unie v oblasti ochrany údajůČlánek 99. Vstup v platnost a použitelnost
ONOOÚ (GDPR) > Článek 24. Předmět a cíle
Stáhnout

Článek 24 ONOOÚ (GDPR). Předmět a cíle

Article 24 GDPR. Subject-matter and objectives

1. S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

ISO 27701 Související texty
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 24(1) GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs.

(EN) […]


to read the full text

Související texty

2. Pokud je to s ohledem na činnosti zpracování přiměřené, zahrnují opatření uvedená v odstavci 1 uplatňování vhodných koncepcí v oblasti ochrany údajů správcem.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 5.1.1.

Here is the relevant paragraph to article 24(2) GDPR:

6.2.1.1 Policies for information security

Implementation guidance

Either by the development of separate privacy policies, or by the augmentation of information security policies, the organization should produce a statement concerning support for and commitment to achieving compliance with applicable PII protection legislation and/or regulation and with the contractual terms agreed between the organization and its partners, its subcontractors and its applicable third parties (customers, suppliers etc.), which should clearly allocate responsibilities between them.

(EN) […]


to read the full text

3. Jedním z prvků, jimiž lze doložit, že správce plní příslušné povinnosti, je dodržování schválených kodexů chování uvedených v článku 40 nebo schválených mechanismů pro vydávání osvědčení uvedených v článku 42.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

ISO 27701 Související texty
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 24(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Související texty
Obecné nařízení o ochraně osobních údajů (ONOOÚ, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Odborný komentář Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN) A controller is a person or an organization that determines the personal data to process and the purposes and means of the processing (Article 4(7)). The definition rightly points to the decision-making capacity of the entity that “decides why and how data will be processed” (ULD Schleswig-Holstein/Wirtschaftsakademie, Opinion of Advocate General).

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
Body odůvodnění

(74) Měla by být stanovena odpovědnost správce za jakékoliv zpracování osobních údajů prováděné správcem nebo pro něj. Správce by měl být zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s tímto nařízením, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob.

(74) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(75) Různě pravděpodobná a závažná rizika pro práva a svobody fyzických osob mohou vyplynout ze zpracování osobních údajů, které by mohlo vést k fyzické, hmotné nebo nehmotné újmě, zejména v případech, kdy by zpracování mohlo vést k diskriminaci, krádeži či zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti osobních údajů chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace nebo jakémukoliv jinému významnému hospodářskému či společenskému znevýhodnění, kdy by subjekty údajů mohly být zbaveny svých práv a svobod nebo možnosti kontrolovat své osobní údaje, kdy jsou zpracovávány osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filosofickém přesvědčení nebo členství v odborech, kdy jsou zpracovávány genetické údaje či údaje o zdravotním stavu či sexuálním životě nebo odsouzení v trestních věcech a trestných činů či souvisejících bezpečnostních opatření, kdy jsou za účelem vytvoření či využití osobních profilů vyhodnocovány osobní aspekty, zejména prostřednictvím analýzy nebo odhadu aspektů týkajících se pracovních výsledků, ekonomické situace, zdravotního stavu, osobních preferencí nebo zájmů, spolehlivosti nebo chování, místa pobytu a pohybu, kdy jsou zpracovávány osobní údaje zranitelných osob, především dětí, nebo kdy je zpracováván velký objem osobních údajů a zpracování se dotýká velkého počtu subjektů údajů.

(75) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(76) Pravděpodobnost a závažnost rizika pro práva a svobody subjektu údajů by měly být určeny na základě povahy, rozsahu, kontextu a účelům zpracování. Riziko by mělo být hodnoceno na základě objektivního posouzení, které stanoví, zda operace zpracování představují riziko či vysoké riziko.

(76) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

(77) Pokyny pro zavádění vhodných opatření a pro prokázání souladu s požadavky tímto správcem nebo zpracovatelem, zejména pokud jde o zjištění rizika souvisejícího se zpracováním, jeho posouzení z hlediska původu, povahy, pravděpodobnosti a závažnosti, a stanovení osvědčených postupů ke snížení rizika by mohly být stanoveny zejména prostřednictvím schválených kodexů chování, schválených osvědčení, pokynů sboru nebo doporučení pověřence pro ochranu osobních údajů. Sbor může rovněž vydávat pokyny týkající se operací zpracování, u nichž se má za to, že je nepravděpodobné, že by mohly představovat vysoké riziko pro práva a svobody fyzických osob, a stanovit, jaká opatření mohou být v takových případech k řešení podobného rizika postačující.

(77) Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk.

(83) V zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování. Tato opatření by měla zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny. Při posuzování rizik pro zabezpečení osobních údajů by se měla vzít v úvahu rizika, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.

(83) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

Pokyny & Case Law Zanechat komentář
[js-disqus]