GDPR

(General Data Protection Regulation)

je nařízení Evropské unie o ochraně osobních údajů vztahující se na každou firmu v EU a na státní organizace.

Jak úspěšně zvládnout GDPR?

AUDIT

Datový audit

Jaká data eviduji a zpracovávám?

Potřebuji skutečně všechna?

Co jsou osobní údaje?

Mohu je legálně zpracovávat?

Kde jsou uložena a kdo má přístup?

Jaké hrozí riziko v případě úniku?

ANALÝZA

Analýza zpracování

Jak data zpracovávám?

Podléhají tyto operace nařízení GDPR?

Mám veškeré potřebné souhlasy?

Jak jsou data zabezpečena?

Musím hlásit bezpečnostní incidenty?

Jaká jsou rizika a sankce?

ŘÍZENÍ

Řízení procesu GDPR

Analýza současného stavu

Plán implementace opatření

Směrnice ochrany osobních údajů

Školení pro správce a zpracovatele

Monitoring a kontrola

 

Datum 25. 5. 2018 je přelomový den z důvodu nabytí účinnosti zmíněného nařízení. Od tohoto data musíte mít vypracované příslušné dokumenty, pokud spolupracujete s externí účetní, IT společností nebo s poskytovatelem pracovnělékařských služeb.

Nezapomeňte ani na úpravu smluv se svými klienty či na úpravu obchodních podmínek na svém e-shopu. V neposlední řadě nepodceňte své povinnosti vůči zaměstnancům v oblasti ochrany osobních údajů. Máte kamery v budově, monitorujete PC nebo máte GPS ve vozidlech? I Vás povinnosti neminou.

Za nesplnění podmínek GDPR hrozí pokuty až €20 milionů (540 mil. Kč) nebo 4 % z celkového obratu firmy (podle toho, která hodnota je vyšší).

jednatel společnosti, konzultace ERP, řízení projektů

Osobní údaje můžeme rozdělit to tří kategorií.

  • Jméno
  • Pohlaví
  • Věk
  • Datum narození
  • Rodné číslo
  • Adresa
  • Osobní stav
  • Podobizna
jednatel společnosti, konzultace ERP, řízení projektů

Organizačními údaji jsou:

  • IP
  • Lokalizační údaje
  • E-mail
  • Telefon
  • Identifikátory státu
jednatel společnosti, konzultace ERP, řízení projektů

Mezi citlivé údaje patří:

  • Rasa
  • Sexuální orientace
  • Náboženství
  • Zdravotní stav
  • Tresty
  • Genetické údaje
  • Biometrické údaje

Osobní údaje lze zpracovávat v následujících případech:

  • byl-li ke zpracování udělen souhlas
  • zpracování osobních údajů je nezbytné pro plnění nebo uzavření smlouvy
  • je nezbytné pro plnění právní povinnosti
  • je nezbytné pro ochranu životně důležitých zájmů fyzické osoby
  • zpracování pro plnění úkolu veřejného zájmu
  • zpracování při výkonu veřejné moci

Např. zatímco dnes mohou e-shopy sbírat různá data o uživatelích, kteří navštíví webovou stránku daného internetového obchodu, po 25. květnu 2018 to nebude možné bez vědomého souhlasu uživatele. Pokud bude chtít e-shop předat nasbíraná data o uživateli třetí straně, bude muset získat souhlas uživatele. E-shop zároveň nemůže vyžadovat tento souhlas jako podmínku k dalšímu setrvání na webu. E-shopy tak musí upravit své softwary tak, aby odpovídaly nové a přísnější legislativě.

Povinnosti správce

  • Provést výmaz plynoucí z práva být zapomenut
  • Vést záznamy o zpracování
  • Posoudit vliv na ochranu osobních údajů
  • Určit pověřence pro ochranu osobních údajů
  • Ohlásit únik dat bezodkladně do 72 hodin od zjištění Úřadu pro ochranu osobních údajů

Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Tyto záznamy o činnostech musí obsahovat následující informace:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO – pověřence pro ochranu osobních údajů (Data Protection Officer). Jeho úkolem je monitorovat zpracování údajů, provádění auditů, školení pracovníků.
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

Potřebujete řešit GDPR?

Klouda Dušan

klouda@k-system.cz

Napište mi, ozvu se Vám obratem