GDPR (General Data Protection Regulation) je obecné nařízení o ochraně osobních údajů, které představuje právní rámec ochrany soukromí v Evropské unii. Cílem je dát občanům větší kontrolu nad tím, jak organizace nakládají s jejich osobními daty.

Za osobní údaj se považuje jakákoliv informace, která umožňuje přímo či nepřímo identifikovat konkrétní osobu:

• Běžné údaje: Jméno, e-mail, telefonní číslo, adresa, IP adresa.
• Citlivé údaje: Informace o zdravotním stavu, biometrické údaje, náboženské vyznání (vyžadují přísnější režim ochrany).

Každý, kdo v rámci firmy nakládá s daty (např. v nástrojích Jira nebo při procesu Onboarding), musí dodržovat tyto principy:

Lidé, jejichž data zpracováváme, mají zákonná práva, která musíme být schopni naplnit:

• Právo na přístup: Vědět, jaké údaje o nich evidujeme.
• Právo na opravu: Opravit neaktuální nebo chybné údaje.
• Právo na výmaz (být zapomenut): Požadovat smazání dat, pokud již neexistuje právní důvod k jejich držení.
• Právo na přenositelnost: Získat svá data ve strukturovaném, strojově čitelném formátu.

V rámci naší knihovny procesů se GDPR projevuje zejména v:

1. **Správě přístupů:** K osobním údajům v [[Jira]] nebo HR systémech mají přístup jen lidé, kteří je potřebují k práci.
2. **Zpracovatelských smlouvách:** Pokud data předáváme externím partnerům (např. cloudovým službám [[Atlassian]]), musíme mít písemnou smlouvu o zpracování.
3. **Likvidaci dat:** Pravidelné promazávání starých životopisů, neaktivních účtů a ex-zaměstnanců.

Upozornění: Porušení pravidel GDPR může vést k vysokým pokutám a poškození dobrého jména firmy. Ochrana dat je součástí našeho etického kodexu.

— Související stránky: Kybernetická bezpečnost, Etický kodex, IT Podpora, Právní minimum