GDPR


Co je GDPR?

GDPR (General Data Protection Regulation – Obecné nařízení o ochraně osobních údajů) je nové nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně osobních údajů pro firmy, instituce ale i jednotlivce a online služby zpracovávající data uživatelů. Cílem GDPR je poskytnout občanům na území EU ochranu osobních dat a kontrolu nad tím, co se s jejich osobnímu údaji děje. Nařízení výrazně zvyšuje práva fyzických osob tzv. subjektů údajů.

Pro koho GDPR platí?

Nařízení se vztahuje na každého, kde pracuje s osobními údaji Evropanů včetně společností a institucí, které působí na evropském trhu. GDPR se nevztahuje na činnosti fyzických osob v rámci čistě osobní povahy nebo na příslušné orgány za účelem prevence, vyšetřování, odhalování či stíhání trestních činů nebo výkonů trestů.

Odkdy GDPR platí?

GDPR začíná platit od 25. května 2018 na celém území EU. V České Republice GDPR nahradí směrnici 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

Sankce

Za nedodržování nařízení GDPR hrozí zpracovatelům údajů vysoké pokuty. Ty mají být účinné, přiměřené a odrazující. Při hrubém porušení hrozí pokuta až do výše 20 000 000 EUR nebo až do výše 4 % z celkového celosvětového ročního obratu společnosti.

Co je z pohledu GDPR osobní údaj?

Obecně lze říci, že osobními údaji (dále jen „OÚ“) jsou myšleny veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě („subjekt údajů“). Prvky osobních údajů:

  • obecné – jméno, věk, pohlaví, stav, datum narození, občanství, fotografie, IP adresa atd.,
  • organizační – adresa bydliště a zaměstnání, telefonní číslo, e-mailová adresa, identifikační údaje určené státem atd.,
  • citlivé – speciální kategorie, která je nyní ještě více zpřísněna – zdravotní stav, politická příslušnost, genetické údaje, sexuální orientace, vyznání, biometrické údaje, osobní údaje dětí atd.

Jak začít?

  • Proveďte analýzu všech firemních procesů, kde dochází k nakládání s osobními údaji.
  • Zjistěte, co znamená GDPR pro vaši organizaci, nechte si udělat od specializované firmy tzv. „rozdílový audit“, tzn. audit současného stavu Vašich systému vzhledem k plnění požadavků GDPR.
  • Doporučujeme, na základě této vstupní analýzy, nechat si udělat analýzu dopadů na OÚ a zpracovat si soubor opatření, který snižuje Vaše rizika vzhledem ke zpracovávaným OÚ.
  • Proveďte potřebné změny zabezpečení dat včetně úprav IT systémů.
  • Zabezpečte své  data  proti úniku a zajistěte všechny potřebné záznamy
  • Zajistěte souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace uchováváte a zpracováváte v informačním systému.

Některé požadavky jsou jednoduché a zvládnete je sami. Ty složitější budou vyžadovat i externí pomoc od zkušené firmy z oblasti GDPR.

, , ,