GDPR - nařízení o ochraně osobních údajů


Obecné nařízení o ochraně osobních údajů je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů. Nařízení GDPR se týká všech firem, institucí, jednotlivců a on-line služeb, které zpracovávají data uživatelů.
GDPR vstoupí v účinnost 25. 5. 2018

Účinost nařízení za: 

 

Týká se mě GDPR?

Pokud je vaše odpověď alespoň na jednu otázku ANO, GDPR se vás bude týkat a je třeba se na něj připravit.

  1. Dodáváte zboží nebo služby fyzickým osobám?
  2. Ukládáte si e-maily, telefony či adresy svých kontaktů nebo zákazníků?
  3. Provozujete e-shop nebo jinou online službu?
  4. Sledujete chování návštěvníků na svém webu a ukládáte si jejich IP či jiné údaje?
  5. Posíláte svým zákazníkům newslettery či obchodní nabídky?
  6. Máte pro zákazníky věrnostní program?
  7. Máte v provozovně kamery?
  8. Máte zaměstnance?

Bezplatná konzultace

Máte zájem o bezplatnou konzultaci? Kontaktujte nás nebo nám zanechte svůj e-mail, my se vám ozveme.

 
PetrNepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
CHCI BEZPLATNOU KONZULTACI
Zadejte jméno, příjmení a Váš vzkaz.

Jak s GDPR pomůže K-net?

  • Poradenství k tématu GDPR
    OBJEDNEJTE SI BEZPLATNOU KONZULTACI K GDPR
     
    Zadejte jméno, příjmení a Váš vzkaz.
  • Zpracování analýzy a dokumentace k GDPR
  • Zajištění pověřence pro ochranu osobních údajů
  • Zajištěním ochrany citlivých osobních dat prostřednictvím vhodně zvolených IT technologií
  • Pronájem bezpečných Cloudových systémů pro sběr informací o osobních údajích a ochranu citlivých dat
  • Organizací seminářů a workshopů
  • Vzděláváním uživatelů v rámci GDPR

GDPR řešíme s těmito partnery:

CitrixForcepoint
Q-COM spol. s r.o.Vít Kubálec - advokát
McAfee

GDPR seriál:

Pro své zákazníky vytváříme seriál k tématu GDPR, všechny díly naleznete zde. Pokud se Vám naše videa líbí, nezapomeňte nás odebírat.

Workshopy k tématu:

Pro své zákazníky pravidelně pořádáme odborné workshopy. K tématu GDPR proběhl v květnu workshop v Brně a Praze. Zájem o téma byl překvapující. Zhlédněte záznamy z našich workshopů.

Co je to GDPR?

Potřeba přísnějšího dohledu nad osobními údaji se v posledních letech stala nutností. Evropská unie se zavedením legislativy, která by určovala pravidla a sankce, zabývá již několik let, výsledkem je GDPR, které bylo letos schváleno.
CoJeGDPR
Cílem GDPR je zajistit evropským občanům větší kontrolu nad tím, co se děje s jejich osobními daty. Díky zabezpečení osobních údajů má vzrůst důvěra v bezpečnost na internetu, což bude přínosem jak pro občany, tak pro podnikatele. Občané se budou cítit bezpečněji a nebudou se bát využívat inovativní technologie a nákupy a služby na internetu. Nová pravidla vytvoří spravedlivou hospodářskou soutěž: všechny společnosti nabízející zboží a služby v EU budou muset dodržovat GDPR a posílí se jejich důvěryhodnost u spotřebitelů. Nařízení GDPR platí pro všechny podniky EU.

Co to je osobní údaj?

GDPR rozděluje osobní informace dle jejich nosné hodnoty do kategorií a nově zavádí kategorii tzv. citlivých osobních údajů, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod a zasluhují zvláštní ochranu.
CoJeOSUdaj

Nařízení se nevztahuje na osobní údaje zesnulých a anonymizované údaje. Anonymizované údaje jsou informace, které nesouvisejí s identifikovanou nebo identifikovatelnou osobou nebo jsou poskytnuty anonymně. Nelze pomocí těchto informací subjekt identifikovat.

Pseudonymizované údaje jsou osobní údaje, které nemohou být přičteny konkrétní osobě bez použití dodatečných informací, které jsou uchovány odděleně. Technická a organizační zabezpečení musí zajistit, že osoba nebude identifikovatelná a k identifikaci má přístup pouze správce. Taková data jsou v souladu s požadavkem "privacy by design", podléhá mírnějším regulacím, je povolené zpracování nad rámec původně definovaného účelu a splňují požadavky na bezpečnost.

Co je zpracování OÚ?

Pro zpracování osobních údajů jsou definovány tři subjekty:
  1. Subjekt - fyzická osoba, jejíž osobní data jsou zpracovány
  2. Správce - fyzická nebo právnická osoba, která sama nebo spolu s jinými určuje účel a způsob zpracování osobních údajů a za zpracování nese zodpovědnost
  3. Zpracovatel - fyzická nebo právnická osoba, která zpracovává data jménem správce
ZpracovaniOU
Zpracování osobních údajů je dle GDPR jakákoli operace nebo soubor operací s osobními údaji, který je prováděn pomocí nebo bez pomoci automatizovaných postupů spočívajících v:
  • Shromažďování
  • Ukládání
  • Zaznamenání
  • Uspořádání
  • Strukturování
  • Uložení
  • Přizpůsobení nebo pozměnění
  • Vyhledání
  • Nahlédnutí
  • Použití
  • Šíření nebo jakékoli jiné zpřístupnění
  • Seřazení či zkombinování
  • Omezení
  • Výmaz nebo zničení
Ochrana citlivých osobních údajů má být dle GDPR posílena. Jsou přesně definovány případy, kdy je zpracování těchto dat povoleno:
  • Výslovný souhlas subjektu se zpracováním
  • Zpracování je nezbytné v oblasti pracovního práva, sociálního zabezpečení a sociální ochrany
  • Zpracování je nutné pro ochranu životně důležitých zájmů subjektu, v případě, že subjekt není fyzicky nebo právně schopen udělit souhlas
  • Zpracování sleduje filozofické, náboženské nebo odborové cíle - nadace, sdružení, neziskové organizace
  • Zpracování se týká údajů zjevně zveřejněných subjektem údajů
  • Zpracování je nezbytné pro obhajobu právních nároků nebo v rámci soudního řízení
  • Z důvodu veřejného zájmu na základě EU nebo národního práva
  • Pro účely preventivního lékařství, posouzení pracovní schopnosti zaměstnance, veřejného zájmu v oblasti veřejného zdraví
  • Zpracování pro účely vědeckého, historického výzkumu nebo statistické účely

Pro zákonné zpracování musí být splněna alespoň jedna podmínka:
  1. Se zpracováním osobních údajů byl dán souhlas
  2. Zpracování OÚ je nezbytné pro plnění smlouvy nebo uzavření smlouvy
  3. Zpracování OÚ je nezbytné pro plnění právní povinnosti
  4. Zpracování OÚ pro ochranu životně důležitých zájmů subjektu
  5. Zpracování OÚ pro plnění úkolu ve veřejném zájmu
  6. Zpracování OÚ při výkonu veřejné moci

Jaké hrozí sankce?

Při nedodržování zásad plynoucích z GDPR nebo úniku osobních informací hrozí vysoké pokuty. GDPR zavádí tzv. princip zodpovědnosti, který zavazuje správce a zpracovatele k zavedení technických, organizačních a procesních opatření za účelem zajištění ochrany osobních údajů v souladu s principy GDPR.

Dodržování pravidel monitorují místní úřady pro ochranu údajů a v případě potřeby mohou učinit patřičné kroky:

  1. Varování
  2. Napomenutí
  3. Pozastavení zpracování údajů
  4. Pokuta 20 milionů eur nebo 4% globálního ročního obratu

Každý případ porušení má být individuálně posouzen a správní pokuta má být udělena tak, aby byla účinná, přiměřená a odrazující. Výše pokuty závisí na řadě faktorů:

  • Povaha, závažnost a délka porušení s přihlédnutím k dalším okolnostem
  • Úmysl nebo nedbalost
  • Počet dotčených subjektů a míra škody
  • Kroky správce či zpracovatele ke zmírnění rozsahu škod
  • Míra odpovědnosti správce či zpracovatele s přihlédnutím na technické a organizační opatření
  • Veškerá relevantní předchozí porušení
  • Míra spolupráce s dozorovým úřadem za účelem nápravy a zmírnění dopadů
  • Kategorie dotčených osobních údajů
  • Způsob, jakým se dozorový úřad dozvěděl o porušení

V případě porušení nařízení má dále také kdokoli, kdo v důsledku tohoto porušení utrpěl hmotnou či nehmotnou újmu, právo od správce nebo zpracovatele náhradu utrpěné újmy.

Princip zodpovědnosti dle GDPR

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

Správci a zpracovatelé budou mít povinnost zajistit:

  1. Ochranu osobních dat a citlivých údajů
    • Řešení pro zabránění napadení a zneužití údajů z internetu
    • Řešení před zcizením údajů zevnitř společnosti
    • Fyzické zabezpečení písemných dokumentů
  2. Dohlednost osobních údajů, aby bylo možné smazání či předání osobních údajů konkrétní osobě
    • Tagování všech údajů, dokumentů a dat ve kterých se nacházejí osobní data
    • Technologie pro jednorázové vyhledání všech osobních údajů o konkrétní osobě
    • Technologie pro jednorázové smazání všech osobních údajů o konkrétní osobě
  3. Organizační a procesní technologie
    • Vypracování dokumentu "Posouzení vlivu na ochranu osobních údajů" (DPIA, Data Protection Impact Assessment). Společnosti či instituce jej budou muset vypracovat, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování (finanční instituce, telekomunikační služby, bezpečnostní agentury, společnosti poskytující věrnostní programy,....)
    • Jmenování pověřence pro ochranu osobních údajů (DPO, Data Protection Officer)
    • Zavedení tzv. pseudonymizace osobních údajů
    • Vedení záznamů o činnostech zpracování, které bude muset správce na požádání zpřístupnit dozorovému úřadu. Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.
      Tyto záznamy o činnosti musí obsahovat informace:
      • Jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
      • Účely zpracování
      • Popis kategorií subjektů údajů a kategorií osobních údajů
      • Kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
      • Informace o mezinárodním předávání osobních údajů
      • Lhůty pro výmaz jednotlivých kategorií údajů
      • Popis technických a organizačních opatření
    • Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

Souhlas se zpracováním osobních údajů

Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů. Souhlas může být dán písemně, písemně elektronicky (například zaškrtnutím políčka při návštěvě internetových stránek) nebo ústním prohlášením. Souhlas by měl obsahovat k jakému účelu budou data zpracovávána a pokud bude účelů více, měl by být souhlas udělen pro všechny. Formulace souhlasu musí být jazykově jednoduchá, v mateřském jazyku, snadno přístupná a jasně odlišitelná od ostatního textu.

Souhlas se zpracovanim udaju

Nově nařízení zavádí povinnost souhlasu rodiče nezletilého dítěte:

  • Do 13 let musí být bezpodmínečně souhlas rodiče
  • 13 až 15 let musí být bezpodmínečně souhlas rodiče, ale může být vnitrostátní úprava
  • Od 16 let nemusí být souhlas rodiče

Příprava na GDPR

Dopady GDPR se prolínají celou organizací a všemi úrovněmi její činnosti. Změny je vždy nutné vnímat v kontextu produktů, procesů a informačních systémů. GDPR ovlivňuje jak tok informací sdílených s pobočkami či dceřinými společnostmi, tak i externí toky.

Vzhledem k rozsahu nařízení je nutné se začít připravovat na GDPR co nejdříve a postupovat systematicky, dle následujících kroků:

  1. Identifikace a analýza zpracování osobních údajů
    • Co je a není osobní údaj? Kde se tyto informace nachází? Jak se uchovávají? Jak se s nimi nakládá? Je nutné a v souladu s GDPR tyto data uchovávat? Jsou tyto data citlivá?
  2. Vyhodnocení analýzy osobních údajů
    • Je nutné komunikovat s Úřadem? Bude v našem případě třeba stanovit DPO?
  3. Analýza rizik
    • Určení potencionálních rizik a stanovení plánu opatření proti zneužití.
  4. Vytvoření dokumentace pro nakládání s citlivými údaji.
  5. Technická část
    • Jakým způsobem osobní údaje značit a jak je zabezpečit proti zneužití.
      • Fyzické zabezpečení
      • Elektronické zabezpečení
      • Tagování informací o osobních údajích v rámci systému.

Organizace by si na konci celého procesu měla být vědomá práce s osobními údaji, mít je dostatečně zabezpečené, monitorovat nakládání s nimi, automaticky hlásit a řešit jejich případné zneužití a na případnou žádost býti schopna všechny údaje o dané osobě buď smazat a nebo definovaně elektronicky předat.

Pověřenec

Pověřenec pro ochranu osobních údajů nebo-li DPO (Data Protection Officer) bude důležitým pilířem pro prokazování souladu nakládání s osobními daty a jejich zpracování s nařízením GDPR.

Hlavní úkoly a povinnosti:

  • Monitorování souladu s GDPR
  • Provádění interních auditů
  • Školení pracovníků
  • Celkové řízení agendy interní ochrany dat
  • Nezávislé a nestranné plnění všech výše uvedených povinností

Povinnost jmenovat pověřence nastává když:

  1. Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů)
  2. Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů
  3. Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

DPO nesmí v rámci společnosti vykonávat jinou činnost, která jinak souvisí s osobními údaji, například personalista, jednatel, účetní,… Pověřenci nenesou osobní odpovědnost za nedodržování GDPR. Nařízení jasně stanoví, že jsou to správci nebo zpracovatelé, kteří musí zajistit a být schopni doložit, že zpracování je prováděno v souladu s GDPR. Právní soulad v oblasti ochrany dat je odpovědností správce nebo zpracovatele.

Některé organizace mohou dospět k závěru, že dobrovolné jmenování pověřence může být užitečné, což budou dozorové orgány podporovat.

Práva subjektu

Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů jako celku, jelikož subjekt údajů je často ve slabším postavení než správce a tudíž vybalancovávají vztah mezi ním a správcem.

Subjekt má dle GDPR tato práva:

  • Právo na přístup k osobním údajům - právo získat potvrzení o zpracovávání osobních údajů od správce, právo tyto data získat a s nimi následující informace:
    • Účely zpracování
    • Kategorie dotčených osobních údajů
    • Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
    • Plánovaná doba, po kterou budou osobní údaje uloženy
    • Existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku
    • Právo podat stížnost u dozorového úřadu
    • Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
    • Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
  • Právo opravu, resp. doplnění - podnět k opravě či doplnění musí dát sám subjekt, správce není povinen data aktualizovat
  • Právo na výmaz - povinnost správce zlikvidovat osobní údaje a předat potvrzení o vymazání subjektu osobních údajů, pokud je splněna alespoň jedna podmínka:
    • Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
    • Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování
    • Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
    • Osobní údaje byly zpracovány protiprávně
    • Osobní údaje musí být vymazány ke splnění právní povinnosti
    • Souhlas byl udělen na příslušnou dobu
  • Právo na omezení zpracování
  • Právo na přenositelnost údajů - zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bráni
  • Právo vznést námitku - správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků
  • Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování - toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Nelze tak například automatizovaně pokutovat řidiče překročující rychlost, aniž by pokutu nepřezkoumal člověk. Nebo nelze automatizovaně odmítnout žádost o úvěr, aniž by žádost nepřezkoumal člověk.