====== GDPR (Ochrana osobních údajů) ======

**GDPR** (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů, které představuje právní rámec ochrany soukromí v Evropské unii. Cílem je dát občanům větší kontrolu nad tím, jak organizace nakládají s jejich osobními daty.

===== Co jsou osobní údaje? =====
Za osobní údaj se považuje jakákoliv informace, která umožňuje přímo či nepřímo identifikovat konkrétní osobu:
  * **Běžné údaje:** Jméno, e-mail, telefonní číslo, adresa, IP adresa.
  * **Citlivé údaje:** Informace o zdravotním stavu, biometrické údaje, náboženské vyznání (vyžadují přísnější režim ochrany).

===== Základní zásady GDPR =====
Každý, kdo v rámci firmy nakládá s daty (např. v nástrojích [[Jira]] nebo při procesu [[Onboarding]]), musí dodržovat tyto principy:

^ Princip ^ Význam ^
| **Zákonnost a transparentnost** | Data lze zpracovávat jen na základě zákonného důvodu (např. smlouva, souhlas). |
| **Účelové omezení** | Data se smí sbírat pouze pro konkrétní, výslovně vyjádřený účel. |
| **Minimalizace dat** | Uchováváme pouze ty údaje, které jsou nezbytně nutné (nesbíráme data „do zásoby“). |
| **Omezení uložení** | Data se nesmí uchovávat déle, než je nutné pro daný účel. |
| **Integrita a důvěrnost** | Zajištění technické [[Kybernetická bezpečnost|kybernetické bezpečnosti]] dat. |

===== Práva subjektů údajů =====
Lidé, jejichž data zpracováváme, mají zákonná práva, která musíme být schopni naplnit:
  * **Právo na přístup:** Vědět, jaké údaje o nich evidujeme.
  * **Právo na opravu:** Opravit neaktuální nebo chybné údaje.
  * **Právo na výmaz (být zapomenut):** Požadovat smazání dat, pokud již neexistuje právní důvod k jejich držení.
  * **Právo na přenositelnost:** Získat svá data ve strukturovaném, strojově čitelném formátu.

===== GDPR v praxi firmy =====
V rámci naší [[Knihovna procesů|knihovny procesů]] se GDPR projevuje zejména v:
  1. **Správě přístupů:** K osobním údajům v [[Jira]] nebo HR systémech mají přístup jen lidé, kteří je potřebují k práci.
  2. **Zpracovatelských smlouvách:** Pokud data předáváme externím partnerům (např. cloudovým službám [[Atlassian]]), musíme mít písemnou smlouvu o zpracování.
  3. **Likvidaci dat:** Pravidelné promazávání starých životopisů, neaktivních účtů a ex-zaměstnanců.

> **Upozornění:** Porušení pravidel GDPR může vést k vysokým pokutám a poškození dobrého jména firmy. Ochrana dat je součástí našeho [[Etický kodex|etického kodexu]].

---
**Související stránky:** [[Kybernetická bezpečnost]], [[Etický kodex]], [[IT Podpora]], [[Právní minimum]]