GDPR! Jsme na něj připraveni? aneb 6 základních otázek, které si kladete
Poslední měsíce válcuje média nová legislativa o ochraně osobních údajů – GDPR (General Data Protection Regulation). Novela se stane účinnou od 25. května 2018. Přestože má toto zákonné opatření přísněji dohlížet především na soukromé firmy, u nichž je riziko manipulace a zneužití vyšší, dotkne se prakticky všech organizací, a to jak v soukromém, tak veřejném sektoru, ziskovém i neziskovém. Jste na GDPR připraveni? V následujícím článku se vám budeme snažit vysvětlit ty nejzákladnější informace o tom, co a proč GDPR je!
Zákon o ochraně osobních údajů už existuje. Co za novinky má tedy GDPR přinést?
Na prvním místě je třeba si uvědomit zásadní fakt o legislativě EU – ať už se jedná o nařízení nebo směrnice. Evropská unie se snaží zajistit prostřednictvím společné legislativy ve všech unijních státech určitou právní úroveň. V mnoha případech může tedy přinášet „novinky“, které pro rozvinutější státy již novinkami nejsou, naopak výrazně apelují na státy s méně rozvinutou legislativní úrovní. GDPR do českých končin tedy nepřinese výrazné změny, a to právě proto, že Česká republika řadu let ochranu osobních dat zákonně nařizuje. Co je tedy těmi novinkami? GDPR klade především větší důraz na celý systém nakládání s daty. Lidé, kteří s těmito údaji nakládají, by měli především v první fázi před získáním osobního údaje rozhodnout o způsobu uchování a způsobu ochrany (např. užitím speciálních technologií) a jak velký vliv může mít vůbec zpracování osobních údajů na jejich ochranu.
Jakých osobních údajů se legislativní úprava týká?
V první řadě je třeba zmínit, že se GDPR vztahuje jen na osobní údaje, se kterými pracují právnické osoby a fyzické osoby podnikající. Pokud tedy máte ve svém osobním telefonu uložený kontakt na svého kolegu z práce, není to považováno za osobní údaj chráněný zákonem a při ztrátě svého telefonu na vás nečeká žádný postih. Rovněž se nejedná o tzv. neuspořádané osobní údaje, kterým může být např. vizitka vašeho obchodního partnera ve vaší peněžence.
Osobními údaji, které musíme brát v potaz, jsou všechny informace o fyzické osobě. Mezi ty základní patří jméno a příjmení, kontaktní údaje, bydliště či jiné identifikátory, které mohou popisovat např. fyzickou podobu, ekonomický či společenský status a jiné. Pozor! Etnická, náboženská či politická příslušnost, členství v odborech či jiné obdobné informace jsou údaji citlivými a patří do tzv. zvláštní kategorie osobních údajů. GDPR bude v tomhle případě klást mnohem přísnější požadavky na vedení těchto údajů a jejich zpracování.
Ve kterých případech mohu osobní údaje shromažďovat a dále zpracovávat?
Existují více méně dvě obecné kategorie – jednou z nich jsou případy, kdy si budete muset ke zpracování údajů zajistit souhlas dané osoby, jiné případy vám umožňují pracovat s údaji bez souhlasu. V druhé zmíněné kategorii se jedná o následující:
1) zpracování je nezbytné pro splnění smlouvy: např. uzavíráte jako organizace s fyzickou osobou smlouvu, zpracování jejich osobních informací je pro vytvoření smlouvy nezbytné);
2) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje: např. organizace ze zákona vede evidenci svých zaměstnanců a jejich osobních údajů;
3) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby: př. uchováváte kontakt na rodiče studentů v případě zdravotních komplikací tohoto studenta;
4) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce: personální oddělení zpracovává údaje o uchazečích na pracovní pozici;
5) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany: př. vaše sídlo je monitorováno bezpečnostní kamerou.
Rozhodnutí, zda zpracování údaje patří do jedné z kategorií zpracování bez souhlasu nebo se souhlasem není vždy jednoduché a pro zařazení do jedné z výše uvedených kategorií byste měli mít silnou argumentaci (pro bod číslo 2 také oporu v zákoně). Některé případy tedy bude muset daná organizace konzultovat s odborníky.
Existují principy, zásady pro zpracování údajů?
Ano! A i tyto principy vám mohou pomoci při rozhodnutí, jak s údajem naložíte a zda vůbec s ním pracovat.
1) zákonnost – ke zpracování osobních údajů musím mít zákonný důvod. Ty jsou popsány v předchozím bodu;
2) omezení uložení – jak dlouho údaj opravdu potřebuji. Musím stanovit kdy a jak jej zlikvidovat;
3) účelové omezení – co je opravdovým účelem zpracování;
4) integrita a důvěrnost – údaje zpracovávám tak, aby byl chráněn před neoprávněným pozměněním a přístupem;
5) minimalizace údajů – zpracovávám opravdu jen to, co potřebuji, údaje minimalizuji co nejvíc;
6) odpovědnost – správce (organizace) je odpovědná za dodržení těchto zásad zpracování;
7) přesnost – údaje zpracováváme takovým způsobem a takovými nástroji, které zaručují správnost údajů.
V organizaci jsme ještě nepřistoupili k žádným opatřením. Jak a kde začít?
Začněte u všech procesů, v rámci kterých nakládáte s osobními údaji. Tyto procesy je nutné ověřit směrem k zákonnosti a zásadám o ochraně osobních údajů, které jsme si stručně představili výše. Toto mapování a analýzu nejlépe provádějte s pomocnými nástroji, které již existují na trhu. Příkladem může být již existující GDPR kalkulačka, kterou naleznete v odkaze zde. Tato kalkulačka vám krok po kroku pomůže zodpovědět na otázku, jak se vaší konkrétní organizace bude dotýkat.
Kde najdu více informací?
Zásadním zdrojem informací o GDPR je Úřad pro ochranu osobních údajů. Na jejich stránkách naleznete manuály, nejčastější dotazy i aktualizace o stavu implementace GDPR do českého právního řádu.
Víc se můžete dozvědět i na chystaném webináři, který jsme si pro vás speciálně připravili! Webinář na téma GDPR pořádáme s hostem Janem Raabem, jedním z tvůrců GDPR kalkulačky. Webinář proběhne 17.4.2018 a k online přenosu i jeho záznamu se můžete přihlásit na zde.
Během živého vysílání můžete pokládat praktické dotazy. A také získáte slevu 10 % na GDPR audit (analýzu) vaší činnosti, kterou budete potřebovat v případě úřední kontroly.
Zajímalo by mě jak se tváříte na školení ohledně GDPR?
Pátral jsem na internetu jsem z Libereckého kraje a našel jsem pana Oto Kleknera.
Četl jsem dobré recenze ale sám si nejsem jist zda chci jít na školení, je to nutné nebo stačí načíst knihy či brožury?
Děkuji Vám
Dobrý den,
osobně jsem navštívila seminář na téma GDPR společnosti Frank Bold (přednášející Mgr. Martin Korbel, Ph.D.). Školení bylo skvělé, pan Korbel nejenže dokázal srozumitelně a lidsky vysvětlit veškeré informace a záludnosti na téma GDPR, ale rovněž zodpovídal na faktické dotazy z našich stran. Jelikož společnost Frank Bold je společnost právníků, nebála bych se je oslovit. Bohužel je pravdou, že mnoho z nabízených seminářů a školení v současné době může být vedeno osobami, které si danou problematiku „pouze“ nastudovali z dostupných materiálů, komplexní vhled z důvodu absence právního vzdělání ale nemají a hůře se tak budou orientovat v některých velice specifických příkladech. Za mne tedy mohu doporučit výše zmíněnou společnost.
Ještě k Vašemu dotazu ohledně školení vs. samostudium – na stránkách Úřadu pro ochranu osobních údajů (viz odkaz v článku), naleznete kompletní informace. Pokud tedy máte dojem, že jsou Vám srozumitelné a že ve Vaší společnosti nehrozí žádné záludnosti, se kterými byste mohl být na hraně, pak Vám materiály zcela jistě postačí. V krajních případech vždy můžete konzultovat s úřadem již konkrétní dotazy.
Přeji Vám hezký den,
Daniela (Culture Matters)