Přihlášení / Registrace
Rubriky
Archiv

Posts Tagged ‘GDPR audit’

Konzultace v oblasti GDPR

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupilo v platnost už během května tohoto roku. Občanům EU přináší lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy GDPR však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné. Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.

Co jsou osobní údaje z hlediska GDPR nařízení?

Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.

Kde najdu kompletní znění GDPR nařízení v češtině?

Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR nařízení doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.

Ochrana osobních údajů – GDPR nařízení

Obecné nařízení o ochraně osobních údajů GDPR (z anglického General Data Protection Regulation) je platné ve všech zemích Evropské unie. Nevztahuje se pouze na firmy zaměstnávající méně než 250 lidí. Toto GDPR nařízení nabude účinnost dne 25. května 2018. Pojem osobní údaje se vztahuje ke všem údajům, které lze přiřadit konkrétní osobě prostřednictvím jména, bydliště, rodného čísla nebo dne narození, podobně jako čísel osobních dokladů (občanský a řidičský průkaz, cestovní pas) a elektronických dat (IP adresa, cookie, lokalizační údaje). Nařízení se vztahuje jak na automatizované, tak neautomatizované zpracování. Pokud se na firmu vztahuje GDPR nařízení o ochraně osobních údajů, musí zavést odpovídající kodex, procesy a systémy. Audit nám spolehlivě provede Asociace za lepší ICT řešení. Díky GDPR konzultaci Asociace za lepší ICT řešení zjistí, zda je firma schopna zobrazit uživateli přehled osobních údajů, zpracovat žádost o jejich úpravu nebo vymazání a zpřístupnit je pro přenos. Dále je její povinností přiřadit příznak omezení a příslušné blokování nebo doložení zavedení procesů zanesení, ochrany a likvidace dat.

Proč by firmy měly objednat GDPR audit?

Implementace požadavků nařízení GDPR není úplně snadný krok. Aby měla smysl, je důležitá prvotní analýza, správné nastavení kodexu a souvisejících procesů a systémů, a poté otestování a vyhodnocení finálního stavu. Směrnice GDPR nařízení je zároveň příležitostí zvýšit celkovou kybernetickou bezpečnost a zároveň nevyhnutelnou zátěží, kterou musí pod pohrůžkou vysoké finanční sankce dodržovat každá firma. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem. Ne každý podnik má dostatečně zkušeného právníka, takže v rámci procesu zavádění GDPR nařízení bude většina firem využívat externí dodavatele služeb. Specialisté vám mohou zpracovat datový audit, audit procesů, připravit kodex ochrany osobních údajů a navrhnout kroky k dosažení shody s GDPR. Pokud budete jmenovat pověřence DPO z řad zaměstnanců, určitě je důležité kvalitní GDPR školení. Ale klíčová je výsledná podoba práce s osobními údaji – a právě její správnost pomůže doladit a potvrdit GDPR audit od certifikované autority. GDPR audit je garancí pro vedení společnosti, důkazem pro ÚOOU a jasným signálem pro zákazníky, že se jedná o seriozního obchodního partnera. Přitom cena GDPR auditu nemusí být nijak horentní – pokud je zavedení GDPR transparentní a správně zdokumentované.

Jste připraveni na GDPR 2018?

O nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů či zkráceně obecném nařízení o ochraně osobních údajů (angl. zkratka GDPR – General Data Protection Regulation) jste již zřejmě slyšeli, ale možná stále ještě nemáte úplně jasnou představu, jaký konkrétní dopad bude mít na vaše podnikání. Obecně řečeno, cílem tohoto zákona je zvýšení ochrany osobních údajů Evropanů a nastavení jednotných pravidel ve fyzickém i digitálním světě. Současně umožní i volný pohyb těchto údajů v rámci zemí EU.

Koho se GDPR nařízení týká?

GDPR 2018 se dotkne všech subjektů, které v rámci své činnosti pracují s osobními údaji občanů členských zemí EU. Některé pasáže se vztahují pouze na organizace s více než 250 zaměstnanci – za předpokladu, že zpracování citlivých údajů nepatří k jejich hlavním činnostem. Pojmem „zákonem chráněné osobní údaje“ se rozumí libovolné neveřejné údaje, které lze přiřadit konkrétním lidem prostřednictvím jména, bydliště, data narození nebo rodného čísla, čísla dokladů (OP, ŘP, pas) a elektronických údajů, jako jsou IP adresa, cookies a informace o lokalizaci uživatele. Obecné nařízení o ochraně osobních údajů se týká také automatizovaného zpracování informací a vyjmenovává zvláště citlivé osobní údaje, které není možné uchovávat bez speciálního zmocnění, přesně definovaného zákonem. Podle směrnice GDPR jsou také nastavena zvláštní kritéria pro vytváření profilů občanů EU, které je ručně či automaticky hodnotí či klasifikují.

Jak se ke GDPR postavit?

Hlavně se nezalekněte velkých pokut ani složitých implementací všech nařízení. Nejlepší bude si nejdříve samostatně přečíst nějaké informace o GDPR. Prostudovat si celé znění vyžaduje spoustu času, ale vyplatí se. Pak je vhodné najít odborníka, který vám provede GDPR audit. Zjistí, zda se na vás nařízení vůbec vztahuje, případně vyhodnotí, jaká opatření vás čekají. Následuje implementace doporučených opatření. V ČR působí spousta GDPR-ready dodavatelů nabízejících patřičnou podporu. Tito dodavatelé vám pomohou nastavit ICT systémy, odpovídajícím způsobem upravit webové stránky a zavést další požadavky, včetně vytvoření GDPR dokumentace. Zatím je ještě dost času, tak se nenechte vylekat a zařiďte si GDPR certifikaci. Dejte všem najevo, že s osobními údaji zacházíte, jak by se mělo. I v očích zákazníků tím získáte plus.

Nařízení GDPR od EU – dodavatelé, český text a audit

Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je nařízení Evropské unie zvyšující ochranu osobních dat občanů EU, ale také nároky na firemní postupy a informační systémy.

Evropské GDPR nařízení o ochraně osobních údajů nabývá účinnosti 25. května 2018.

Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části nařízení GDPR se nevztahují na organizace s méně než 250 zaměstnanci.

Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob. Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT.

Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.