GDPR! Jsme na něj připraveni? aneb 6 základních otázek, které si kladete

Poslední měsíce válcuje média nová legislativa o ochraně osobních údajů – GDPR (General Data Protection Regulation). Novela se stane účinnou od 25. května 2018. Přestože má toto zákonné opatření přísněji dohlížet především na soukromé firmy, u nichž je riziko manipulace a zneužití vyšší, dotkne se prakticky všech organizací, a to jak v soukromém, tak veřejném sektoru, ziskovém i neziskovém.  Jste na GDPR připraveni? V následujícím článku se vám budeme snažit vysvětlit ty nejzákladnější informace o tom, co a proč GDPR je!

 

Zákon o ochraně osobních údajů už existuje. Co za novinky má tedy GDPR přinést?

Na prvním místě je třeba si uvědomit zásadní fakt o legislativě EU – ať už se jedná o nařízení nebo směrnice. Evropská unie se snaží zajistit prostřednictvím společné legislativy ve všech unijních státech určitou právní úroveň. V mnoha případech může tedy přinášet „novinky“, které pro rozvinutější státy již novinkami nejsou, naopak výrazně apelují na státy s méně rozvinutou legislativní úrovní. GDPR do českých končin tedy nepřinese výrazné změny, a to právě proto, že Česká republika řadu let ochranu osobních dat zákonně nařizuje. Co je tedy těmi novinkami? GDPR klade především větší důraz na celý systém nakládání s daty. Lidé, kteří s těmito údaji nakládají, by měli především v první fázi před získáním osobního údaje rozhodnout o způsobu uchování a způsobu ochrany (např. užitím speciálních technologií) a jak velký vliv může mít vůbec zpracování osobních údajů na jejich ochranu.

 

Jakých osobních údajů se legislativní úprava týká?

V první řadě je třeba zmínit, že se GDPR vztahuje jen na osobní údaje, se kterými pracují právnické osoby a fyzické osoby podnikající. Pokud tedy máte ve svém osobním telefonu uložený kontakt na svého kolegu z práce, není to považováno za osobní údaj chráněný zákonem a při ztrátě svého telefonu na vás nečeká žádný postih. Rovněž se nejedná o tzv. neuspořádané osobní údaje, kterým může být např. vizitka vašeho obchodního partnera ve vaší peněžence.

Osobními údaji, které musíme brát v potaz, jsou všechny informace o fyzické osobě. Mezi ty základní patří jméno a příjmení, kontaktní údaje, bydliště či jiné identifikátory, které mohou popisovat např. fyzickou podobu, ekonomický či společenský status a jiné. Pozor! Etnická, náboženská či politická příslušnost, členství v odborech či jiné obdobné informace jsou údaji citlivými a patří do tzv. zvláštní kategorie osobních údajů. GDPR bude v tomhle případě klást mnohem přísnější požadavky na vedení těchto údajů a jejich zpracování.

 

Ve kterých případech mohu osobní údaje shromažďovat a dále zpracovávat?

Existují více méně dvě obecné kategorie – jednou z nich jsou případy, kdy si budete muset ke zpracování údajů zajistit souhlas dané osoby, jiné případy vám umožňují pracovat s údaji bez souhlasu.  V druhé zmíněné kategorii se jedná o následující:

1) zpracování je nezbytné pro splnění smlouvy: např. uzavíráte jako organizace s fyzickou osobou smlouvu, zpracování jejich osobních informací je pro vytvoření smlouvy nezbytné);

2) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje: např. organizace ze zákona vede evidenci svých zaměstnanců a jejich osobních údajů;

3) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby: př. uchováváte kontakt na rodiče studentů v případě zdravotních komplikací tohoto studenta;

4) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce: personální oddělení zpracovává údaje o uchazečích na pracovní pozici;

5) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany: př. vaše sídlo je monitorováno bezpečnostní kamerou.

Rozhodnutí, zda zpracování údaje patří do jedné z kategorií zpracování bez souhlasu nebo se souhlasem není vždy jednoduché a pro zařazení do jedné z výše uvedených kategorií byste měli mít silnou argumentaci (pro bod číslo 2 také oporu v zákoně). Některé případy tedy bude muset daná organizace konzultovat s odborníky.

 

Existují principy, zásady pro zpracování údajů?

Ano! A i tyto principy vám mohou pomoci při rozhodnutí, jak s údajem naložíte a zda vůbec s ním pracovat.

1) zákonnost – ke zpracování osobních údajů musím mít zákonný důvod. Ty jsou popsány v předchozím bodu;

2) omezení uložení – jak dlouho údaj opravdu potřebuji. Musím stanovit kdy a jak jej zlikvidovat;

3) účelové omezení – co je opravdovým účelem zpracování;

4) integrita a důvěrnost – údaje zpracovávám tak, aby byl chráněn před neoprávněným pozměněním a přístupem;

5) minimalizace údajů – zpracovávám opravdu jen to, co potřebuji, údaje minimalizuji co nejvíc;

6) odpovědnost – správce (organizace) je odpovědná za dodržení těchto zásad zpracování;

7) přesnost – údaje zpracováváme takovým způsobem a takovými nástroji, které zaručují správnost údajů.

 

V organizaci jsme ještě nepřistoupili k žádným opatřením. Jak a kde začít?

Začněte u všech procesů, v rámci kterých nakládáte s osobními údaji. Tyto procesy je nutné ověřit směrem k zákonnosti a zásadám o ochraně osobních údajů, které jsme si stručně představili výše. Toto mapování a analýzu nejlépe provádějte s pomocnými nástroji, které již existují na trhu. Příkladem může být již existující GDPR kalkulačka, kterou naleznete v odkaze zde. Tato kalkulačka vám krok po kroku pomůže zodpovědět na otázku, jak se vaší konkrétní organizace bude dotýkat.

 

Kde najdu více informací?

Zásadním zdrojem informací o GDPR je Úřad pro ochranu osobních údajů. Na jejich stránkách naleznete manuály, nejčastější dotazy i aktualizace o stavu implementace GDPR do českého právního řádu.

Víc se můžete dozvědět i na chystaném webináři, který jsme si pro vás speciálně připravili! Webinář na téma GDPR pořádáme s hostem Janem Raabem, jedním z tvůrců GDPR kalkulačky. Webinář proběhne 17.4.2018 a k online přenosu i jeho záznamu se můžete přihlásit na zde.  

Během živého vysílání můžete pokládat praktické dotazy. A také získáte slevu 10 % na GDPR audit (analýzu) vaší činnosti, kterou budete potřebovat v případě úřední kontroly.

CHCI VIDĚT WEBINÁŘ>>

 

Komentáře
  1. Petr Král napsal:

    Zajímalo by mě jak se tváříte na školení ohledně GDPR?
    Pátral jsem na internetu jsem z Libereckého kraje a našel jsem pana Oto Kleknera.
    Četl jsem dobré recenze ale sám si nejsem jist zda chci jít na školení, je to nutné nebo stačí načíst knihy či brožury?
    Děkuji Vám

    • Dobrý den,
      osobně jsem navštívila seminář na téma GDPR společnosti Frank Bold (přednášející Mgr. Martin Korbel, Ph.D.). Školení bylo skvělé, pan Korbel nejenže dokázal srozumitelně a lidsky vysvětlit veškeré informace a záludnosti na téma GDPR, ale rovněž zodpovídal na faktické dotazy z našich stran. Jelikož společnost Frank Bold je společnost právníků, nebála bych se je oslovit. Bohužel je pravdou, že mnoho z nabízených seminářů a školení v současné době může být vedeno osobami, které si danou problematiku „pouze“ nastudovali z dostupných materiálů, komplexní vhled z důvodu absence právního vzdělání ale nemají a hůře se tak budou orientovat v některých velice specifických příkladech. Za mne tedy mohu doporučit výše zmíněnou společnost.

    • Ještě k Vašemu dotazu ohledně školení vs. samostudium – na stránkách Úřadu pro ochranu osobních údajů (viz odkaz v článku), naleznete kompletní informace. Pokud tedy máte dojem, že jsou Vám srozumitelné a že ve Vaší společnosti nehrozí žádné záludnosti, se kterými byste mohl být na hraně, pak Vám materiály zcela jistě postačí. V krajních případech vždy můžete konzultovat s úřadem již konkrétní dotazy.
      Přeji Vám hezký den,
      Daniela (Culture Matters)

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů

  • Kategorie článků