GDPR

Zajistíme váš soulad s nařízením o ochraně osobních údajů

O službě

Správně zpracované osobní údaje

Obecné nařízení o ochraně osobních údajů vstoupilo v účinnost 25. 5. 2018. Jedná se o revoluční legislativu EU, která výrazně zvýšila ochranu osobních dat občanů. Nařízení GDPR se týká všech firem, institucí, jednotlivců a on-line služeb, které zpracovávají data uživatelů. Pomůžeme vám se vyznat v jeho výrazech, pochopit jeho význam i kroky, které je nutné podniknout, abyste zajistili trvalý soulad s touto legislativou a zároveň vysokou míru ochrany osobních dat, která zpracováváte.

Služby v oblasti GDPR poskytujeme pod marketingovým názvem GDPR Trio. Jedná se o spolupráci 3 firem – právní otázky řeší advokátní kancelář Mgr. Vít Kubalec, procesní oblast mají na starost konzultanti ze společnosti Q-COM a technologie pro zajištění souladu s GDPR navrhuje, implementuje a spravuje K-net.

GDPR ve školách

Školní prostředí je v mnoha směrech specifické. Školy musí být připraveny chránit osobní údaje dětí na což GDPR klade obzvlášť velký důraz...

― Číst dál

GDPR na městských úřadech

Městské úřady řeší GDPR občanů nejen v rámci radnice, ale také u škol, knihoven, penzionů pro seniory a dalších organizací, které provozují...

― Číst dál

GDPR ve firmách

Ať už je firma jakkoli velká či malá, musí být v souladu s nařízením GDPR. Jak se do souladu dostat?

― Číst dál

Služby

Naše služby v oblasti GDPR

Více o GDPR

Mýty a často kladené otázky

12 nejčastějších omylů GDPR

GDPR a fotky

Souhlas

Souhlas se zpracováním osobních údajů

Navštivte náš portál pro správu osobních údajů a udělte/obnovte nám souhlas se zpracováním Vašich osobních údajů. Děkujeme vám.

Jak

Jak vám pomůže K-net a GDPR Trio s ochranou osobních údajů

Identifikujeme zpracování osobních údajů a provedeme analýzu

Implementujeme procesy a připravíme dokumentaci

Implementujeme technická opatření: Zajištěním ochrany citlivých osobních dat prostřednictvím vhodně zvolených IT technologií

Implementujeme technická opatření:
Pronájmem bezpečných Cloudových systémů pro sběr informací o osobních údajích a ochranu citlivých dat

Zajistíme Pověřence pro ochranu osobních údajů

Proškolíme zaměstnance v otázkách GDPR

Máte otázku?

Partneři

Vaše data s námi chrání tito partneři

Živě

GDPR seriál

Pro své zákazníky vytváříme seriál k tématu GDPR, všechny díly naleznete zde.
Pokud se vám naše videa líbí, přihlaste si odběr.

Co dělat, pokud uniknou z firmy osobní údaje?

Když někdo využije svého práva být zapomenut - GDPR

K čemu je dnes pověřenec GDPR?

Penetrační testování: Jak moc je vaše síť odolná proti útokům a kdo na ni bude útočit?

Mikulášovy problémy s GDPR – zpracování osobních údajů, citlivá data a získávání souhlasu – GDPRtrio

GDPR seriál - 18 Časté dotazy na školách | K-net

Další videa

Workshopy k tématu

Pro své zákazníky pravidelně pořádáme odborné workshopy. K tématu GDPR proběhl v květnu workshop v Brně a Praze. Zájem o téma byl překvapující. Zhlédněte záznamy z našich workshopů.

Máte zájem?

V detailech

Úvod a základní pojmy GDPR

Co je to GDPR?

Potřeba přísnějšího dohledu nad osobními údaji se v posledních letech stala nutností. Evropská unie se zavedením legislativy, která by určovala pravidla a sankce, zabývá již několik let, výsledkem je GDPR, které bylo letos schváleno.

Cílem GDPR je zajistit evropským občanům větší kontrolu nad tím, co se děje s jejich osobními daty. Díky zabezpečení osobních údajů má vzrůst důvěra v bezpečnost na internetu, což bude přínosem jak pro občany, tak pro podnikatele. Občané se budou cítit bezpečněji a nebudou se bát využívat inovativní technologie a nákupy a služby na internetu. Nová pravidla vytvoří spravedlivou hospodářskou soutěž: všechny společnosti nabízející zboží a služby v EU budou muset dodržovat GDPR a posílí se jejich důvěryhodnost u spotřebitelů. Nařízení GDPR platí pro všechny podniky EU.

Co to je osobní údaj?

GDPR rozděluje osobní informace dle jejich nosné hodnoty do kategorií a nově zavádí kategorii tzv. citlivých osobních údajů, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod a zasluhují zvláštní ochranu.

Nařízení se nevztahuje na osobní údaje zesnulých a anonymizované údaje. Anonymizované údaje jsou informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou nebo jsou poskytnuty anonymně. Nelze pomocí těchto informací subjekt identifikovat.

Pseudonymizované údaje jsou osobní údaje, které nemohou být přičteny konkrétní osobě bez použití dodatečných informací, které jsou uchovány odděleně. Technická a organizační zabezpečení musí zajistit, že osoba nebude identifikovatelná a k identifikaci má přístup pouze správce. Taková data jsou v souladu s požadavkem „privacy by design“, podléhá mírnějším regulacím, je povolené zpracování nad rámec původně definovaného účelu a splňují požadavky na bezpečnost.

Co je zpracování OÚ?

Pro zpracování osobních údajů jsou definovány tři subjekty:

Subjekt – fyzická osoba, jejíž osobní data jsou zpracovány
Správce – fyzická nebo právnická osoba, která sama nebo spolu s jinými určuje účel a způsob zpracování osobních údajů a za zpracování nese zodpovědnost
Zpracovatel – fyzická nebo právnická osoba, která zpracovává data jménem správce

Zpracování osobních údajů je dle GDPR jakákoli operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících v:

Shromažďování
Ukládání
Zaznamenání
Uspořádání
Strukturování
Uložení
Přizpůsobení nebo pozměnění
Vyhledání
Nahlédnutí
Použití
Šíření nebo jakékoli jiné zpřístupnění
Seřazení či zkombinování
Omezení
Výmaz nebo zničení

Pro zákonné zpracování musí být splněna alespoň jedna podmínka:

Se zpracováním osobních údajů byl dán souhlas
Zpracování OÚ je nezbytné pro plnění smlouvy nebo uzavření smlouvy
Zpracování OÚ je nezbytné pro plnění právní povinnosti
Zpracování OÚ pro ochranu životně důležitých zájmů subjektu
Zpracování OÚ pro plnění úkolu ve veřejném zájmu
Zpracování OÚ při výkonu veřejné moci

Ochrana citlivých osobních údajů má být dle GDPR posílena. Jsou přesně definovány případy, kdy je zpracování těchto dat povoleno:

Výslovný souhlas subjektu se zpracováním
Zpracování je nezbytné v oblasti pracovního práva, sociálního zabezpečení a sociální ochrany
Zpracování je nutné pro ochranu životně důležitých zájmů subjektu, v případě, že subjekt není fyzicky nebo právně schopen udělit souhlas
Zpracování sleduje filozofické, náboženské nebo odborové cíle – nadace, sdružení, neziskové organizace
Zpracování se týká údajů zjevně zveřejněných subjektem údajů
Zpracování je nezbytné pro obhajobu právních nároků nebo v rámci soudního řízení
Z důvodu veřejného zájmu na základě EU nebo národního práva
Pro účely preventivního lékařství, posouzení pracovní schopnosti zaměstnance, veřejného zájmu v oblasti veřejného zdraví
Zpracování pro účely vědeckého, historického výzkumu nebo statistické účely

Jaké hrozí sankce?

Při nedodržování zásad plynoucích z GDPR nebo úniku osobních informací hrozí vysoké pokuty. GDPR zavádí tzv. princip zodpovědnosti, který zavazuje správce a zpracovatele k zavedení technických, organizačních a procesních opatření za účelem zajištění ochrany osobních údajů v souladu s principy GDPR.

Dodržování pravidel monitorují místní úřady pro ochranu údajů a v případě potřeby mohou učinit patřičné kroky:

Varování
Napomenutí
Pozastavení zpracování údajů
Pokuta 20 milionů eur nebo 4% globálního ročního obratu

Každý případ porušení má být individuálně posouzen a správní pokuta má být udělena tak, aby byla účinná, přiměřená a odrazující. Výše pokuty závisí na řadě faktorů:

Povaha, závažnost a délka porušení s přihlédnutím k dalším okolnostem
Úmysl nebo nedbalost
Počet dotčených subjektů a míra škody
Kroky správce či zpracovatele ke zmírnění rozsahu škod
Míra odpovědnosti správce či zpracovatele s přihlédnutím na technické a organizační opatření
Veškerá relevantní předchozí porušení
Míra spolupráce s dozorovým úřadem za účelem nápravy a zmírnění dopadů
Kategorie dotčených osobních údajů
Způsob, jakým se dozorový úřad dozvěděl o porušení

V případě porušení nařízení má dále také kdokoli, kdo v důsledku tohoto porušení utrpěl hmotnou či nehmotnou újmu, právo od správce nebo zpracovatele náhradu utrpěné újmy.

Princip zodpovědnosti dle GDPR

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Správci a zpracovatelé budou mít povinnost zajistit:

Ochranu osobních dat a citlivých údajů
- Řešení pro zabránění napadení a zneužití údajů z internetu
- Řešení před zcizením údajů zevnitř společnosti
- Fyzické zabezpečení písemných dokumentů
Dohledatelnost osobních údajů, aby bylo možné smazání či předání osobních údajů konkrétní osobě
- Tagování všech údajů, dokumentů a dat ve kterých se nacházejí osobní data
- Technologie pro jednorázové vyhledání všech osobních údajů o konkrétní osobě
- Technologie pro jednorázové smazání všech osobních údajů o konkrétní osobě
Organizační a procesní technologie
- Vypracování dokumentu „Posouzení vlivu na ochranu osobních údajů“ (DPIA, Data Protection Impact Assessment). Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování (finanční instituce, telekomunikační služby, bezpečnostní agentury, společnosti poskytující věrnostní programy,….)
- Jmenování pověřence pro ochranu osobních údajů (DPO, Data Protection Officer)
- Zavedení tzv. pseudonymizace osobních údajů
- Vedení záznamů o činnostech zpracování, které bude muset správce na požádání zpřístupnit dozorovému úřadu. Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.
  Tyto záznamy o činnosti musí obsahovat informace:
  - Jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  - Účely zpracování
  - Popis kategorií subjektů údajů a kategorií osobních údajů
  - Kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  - Informace o mezinárodním předávání osobních údajů
  - Lhůty pro výmaz jednotlivých kategorií údajů
  - Popis technických a organizačních opatření
- Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

Souhlas se zpracováním osobních údajů

Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů. Souhlas může být dán písemně, písemně elektronicky (například zaškrtnutím políčka při návštěvě internetových stránek) nebo ústním prohlášením. Souhlas by měl obsahovat k jakému účelu budou data zpracovávána a pokud bude účelů více, měl by být souhlas udělen pro všechny. Formulace souhlasu musí být jazykově jednoduchá, v mateřském jazyku, snadno přístupná a jasně odlišitelná od ostatního textu.

Nově nařízení zavádí povinnost souhlasu rodiče nezletilého dítěte:

Do 13 let musí být bezpodmínečně souhlas rodiče
13 až 15 let musí být bezpodmínečně souhlas rodiče, ale může být vnitrostátní úprava
Od 16 let nemusí být souhlas rodiče

Příprava na GDPR

Dopady GDPR se prolínají celou organizací a všemi úrovněmi její činnosti. Změny je vždy nutné vnímat v kontextu produktů, procesů a informačních systémů. GDPR ovlivňuje jak tok informací sdílených s pobočkami či dceřinými společnostmi, tak i externí toky.

Vzhledem k rozsahu nařízení je nutné se začít připravovat na GDPR co nejdříve a postupovat systematicky, dle následujících kroků:

Identifikace a analýza zpracování osobních údajů
- Co je a není osobní údaj? Kde se tyto informace nachází? Jak se uchovávají? Jak se s nimi nakládá? Je nutné a v souladu s GDPR tyto data uchovávat? Jsou tyto data citlivá?
Vyhodnocení analýzy osobních údajů
- Je nutné komunikovat s Úřadem? Bude v našem případě třeba stanovit DPO?
Analýza rizik
- Určení potencionálních rizik a stanovení plánu opatření proti zneužití.
Vytvoření dokumentace pro nakládání s citlivými údaji.
Technická část
- Jakým způsobem osobní údaje značit a jak je zabezpečit proti zneužití.
  - Fyzické zabezpečení
  - Elektronické zabezpečení
  - Tagování informací o osobních údajích v rámci systému.

Organizace by si na konci celého procesu měla být vědomá práce s osobními údaji, mít je dostatečně zabezpečené, monitorovat nakládání s nimi, automaticky hlásit a řešit jejich případné zneužití a na případnou žádost býti schopna všechny údaje o dané osobě buď smazat a nebo definovaně elektronicky předat.

Pověřenec

Pověřenec pro ochranu osobních údajů nebo-li DPO (Data Protection Officer) bude důležitým pilířem pro prokazování souladu nakládání s osobními daty a jejich zpracování s nařízením GDPR.

Hlavní úkoly a povinnosti:

Monitorování souladu s GDPR
Provádění interních auditů
Školení pracovníků
Celkové řízení agendy interní ochrany dat
Nezávislé a nestranné plnění všech výše uvedených povinností

Povinnost jmenovat pověřence nastává když:

Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů
Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

DPO nesmí v rámci společnosti vykonávat jinou činnost, která jinak souvisí s osobními údaji, například personalista, jednatel, účetní,… Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Práva subjektu

Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů jako celku, jelikož subjekt údajů je často ve slabším postavení než správce a tudíž vybalancovávají vztah mezi ním a správcem.

Subjekt má dle GDPR tato práva:

Právo na přístup k osobním údajům – právo získat potvrzení o zpracovávání osobních údajů od správce, právo tyto data získat a s nimi následující informace:
- Účely zpracování
- Kategorie dotčených osobních údajů
- Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
- Plánovaná doba, po kterou budou osobní údaje uloženy
- Existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku
- Právo podat stížnost u dozorového úřadu
- Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
- Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
Právo opravu, resp. doplnění – podnět k opravě či doplnění musí dát sám subjekt, správce není povinen data aktualizovat
Právo na výmaz – povinnost správce zlikvidovat osobní údaje a předat potvrzení o vymazání subjektu osobních údajů, pokud je splněna alespoň jedna z následujících podmínek:
- Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
- Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování
- Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
- Osobní údaje byly zpracovány protiprávně
- Osobní údaje musí být vymazány ke splnění právní povinnosti
- Souhlas byl udělen na příslušnou dobu
Právo na omezení zpracování
Právo na přenositelnost údajů – zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bráni
Právo vznést námitku – správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků
Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování – toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Nelze tak například automatizovaně pokutovat řidiče překročující rychlost, aniž by pokutu nepřezkoumal člověk. Nebo nelze automatizovaně odmítnout žádost o úvěr, aniž by žádost nepřezkoumal člověk.

Cookie	Délka	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
NSC_ESNS	past	This cookie is set by the provider Netscaler load balancing service from Citrix. This cookie is used for ensuring traffic and user data is routed to the correct location where a site is hosted on multiple servers, inorder to get a consistent experience for the end user.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Délka	Popis
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Délka	Popis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-26032567-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
leady_session_id	session	No description available.

Cookie	Délka	Popis
c	16 years 25 days 13 hours 24 minutes	This cookie is set by Rubicon Project to control synchronization of user identification and exchange of user data between various ad services.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

GDPR

O službě

Správně zpracované osobní údaje

GDPR ve školách

GDPR na městských úřadech

GDPR ve firmách

Služby

Naše služby v oblasti GDPR

Audit GDPR

Implementace GDPR

Penetrační testování

Pověřenec pro ochranu osobních údajů

Více o GDPR

Mýty a často kladené otázky

12 nejčastějších omylů GDPR

GDPR a fotky

Souhlas

Souhlas se zpracováním osobních údajů

Jak

Jak vám pomůže K-net a GDPR Trio s ochranou osobních údajů

Máte otázku?

Partneři

Vaše data s námi chrání tito partneři

Živě

GDPR seriál

Další videa

Workshopy k tématu

Máte zájem?

V detailech

Úvod a základní pojmy GDPR

Co je to GDPR?

Co to je osobní údaj?

Co je zpracování OÚ?

Jaké hrozí sankce?

Princip zodpovědnosti dle GDPR

Souhlas se zpracováním osobních údajů

Příprava na GDPR

Pověřenec

Práva subjektu

Spojme se

Ptejte se. Nechte nám vzkaz.

Ing. Petr Nepustil

IT Konzultant

Rychlý kontakt

Informace o cookies