Posts Tagged ‘nařízení GDPR’
GDPR je nová tzv. směrnice
Legislativa řídící ochranu osobních údajů v ČR byla zastaralá. Neznala sociální sítě ani moderní technologie. Kdysi lidé nemohli vědět, v jak obrovském formátu se v budoucnosti bude pracovat s daty, a proto bylo potřeba vše zmodernizovat. Proto v květnu 2018 vstoupilo v platnost nové GDPR nařízení. Oproti původním pravidlům se však jedná o velký pokrok, které nová tzv. “GDPR směrnice” přinese.
Co se vlastně díky GDPR nařízení změní?
Lidé získají díky GDPR nařízení nová práva. Budou moci po správcích údajů vyžadovat vymazání dat, je potřeba jim umožnit přístup ke shromažďovaným údajům, vznést námitku proti zpracování apod. Za osobní údaje jsou přitom chápány nejen rodná čísla, jména apod., ale také IP adresy, cookies, e-maily, genetické i biometrické údaje a vše, co je s nimi propojeno. Státní instituce a větší firmy (orgány veřejné moci, společnosti, jejichž hlavní činností je zpracování informací) musejí nyní mít svého pověřence pro ochranu osobních údajů (DPO z anglického Data Protection Officer). Ten napomáhá s realizací všech postupů a také kontroluje, zda vše probíhá tak, jak by mělo. Velkou změnou je rovněž oznamovací povinnost. Pokud bude narušena bezpečnost, musí subjekt tento únik či ohrožení do 72 hodin ohlásit Úřadu pro ochranu osobních údajů. V určitých situací budou informovány i subjekty, o jejichž údaje se jednalo. EU si od toho slibuje, že se vyhneme případům, kdy se lidé o úniku jejich osobních dat dozvídali až po několika letech.
Jak se ke GDPR jako firma postavit?
Nejdůležitější je detailně se informovat, co je GDPR a co pro vás vlastně znamená. Pravděpodobně si pak najmete odborníka, který vám se vším pomůže, nicméně je dobré mít aspoň trochu tušení, o čem se mluví. Je možné, že se vás nařízení třeba ani týkat nebude. Odvíjí se to od činnosti i velikosti společnosti. Opět je dobré obrátit se na profesionály a nechat je, ať vaši situaci zhodnotí. Podcenit GDPR nařízení se nevyplácí, sankce nejsou zrovna nízké. V případě porušení může pokuta dosáhnout až 20 000 000 eur nebo 4 % z ročního obratu (vyšší z těchto možností). Závisí ovšem na spoustě faktorů, takže se nebojte, že by pro vás nějaká drobná chyba v implementaci nařízení byla likvidační.
Je potřeba mít z GDPR strach?
Rozhodně ne. GDPR je nařízení jako každé jiné, s nímž se bez problémů vyrovnáte. Nebude vás stát spoustu peněz ani úsilí. Vyhledejte si na internetu informace, navštivte nějaké školení či konferenci, kde se o problému mluví, a vyhledejte odbornou pomoc. Začněte třeba tím, že si přečtete český text GDPR směrnice i s komentářem zde: https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/.
Pokud se příliš neorientujete v oblasti práva, je dost možné, že ani po přečtení celého nařízení nebudete o moc moudřejší. Mějte ale na paměti, že nejste jediní, kdo musí řešit GDPR. Lidí jako vy je jenom v České republice spousta. A také je tady dost takových, kteří vám pomohou. Nechte si zpracovat GDPR audit, získejte certifikaci a ukažte, že splňujete veškeré požadavky. Pravděpodobně na to uslyší i zákazníci, hlavně pokud se jedná o významnější osoby či firmy. Všichni budou chtít, aby jejich údaje byly v bezpečí.
25. května tohoto roku již začalo platit nové GDPR nařízení
Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je nařízení Evropské unie zvyšující ochranu osobních dat občanů EU, ale také nároky na firemní postupy a informační systémy. Evropské GDPR nařízení o ochraně osobních údajů nabylo účinnosti 25. května 2018. GDPR nařízení se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části nařízení GDPR se nevztahují na organizace s méně než 250 zaměstnanci.
Odpovědnost a zavádění nových kodexů
Z principu věci je patrné, že GDPR nařízení zasáhlo nejenom veřejný sektor, ale také firmy pracující s osobními údaji fyzických osob. V tomto směru to může být nejrůznějších nakládání s takovými informacemi:
-
behaviorální reklamy,
-
sledování polohy,
-
kamerové systémy,
-
poskytování telekomunikačních služeb,
-
monitoring subjektů, apod.
Konkrétní právnické osobě či podnikateli vznikla povinnost zavést ve své společnosti adekvátní kodexy OOÚ, souhlasy, procesy a nová systémová řešení týkající se nového GDPR nařízení. Za tohle všechno je zodpovědný pověřenec. Tím nemusí být za každou cenu někdo z firmy. Tyto povinnosti lze delegovat na ty správné dodavatele zmiňovaných služeb.
Jaké jsou chráněné osobní údaje?
GDPR nařízení se totiž týká nejenom jména, příjmení, rodného čísla či data narození. Dále je to také číslo občanského průkazu, pasu, řidičského průkazu, IP adresa, cookie a lokalizační údaje. Pakliže v odpovídající míře pracujete s takovými údaji, GDPR povinnosti vás rozhodně neminou.
Konzultace v oblasti GDPR
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupilo v platnost už během května tohoto roku. Občanům EU přináší lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy GDPR však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné. Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.
Co jsou osobní údaje z hlediska GDPR nařízení?
Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.
Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.
Kde najdu kompletní znění GDPR nařízení v češtině?
Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR nařízení doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.
Ochrana osobních údajů – GDPR nařízení
Obecné nařízení o ochraně osobních údajů GDPR (z anglického General Data Protection Regulation) je platné ve všech zemích Evropské unie. Nevztahuje se pouze na firmy zaměstnávající méně než 250 lidí. Toto GDPR nařízení nabude účinnost dne 25. května 2018. Pojem osobní údaje se vztahuje ke všem údajům, které lze přiřadit konkrétní osobě prostřednictvím jména, bydliště, rodného čísla nebo dne narození, podobně jako čísel osobních dokladů (občanský a řidičský průkaz, cestovní pas) a elektronických dat (IP adresa, cookie, lokalizační údaje). Nařízení se vztahuje jak na automatizované, tak neautomatizované zpracování. Pokud se na firmu vztahuje GDPR nařízení o ochraně osobních údajů, musí zavést odpovídající kodex, procesy a systémy. Audit nám spolehlivě provede Asociace za lepší ICT řešení. Díky GDPR konzultaci Asociace za lepší ICT řešení zjistí, zda je firma schopna zobrazit uživateli přehled osobních údajů, zpracovat žádost o jejich úpravu nebo vymazání a zpřístupnit je pro přenos. Dále je její povinností přiřadit příznak omezení a příslušné blokování nebo doložení zavedení procesů zanesení, ochrany a likvidace dat.
Proč by firmy měly objednat GDPR audit?
Implementace požadavků nařízení GDPR není úplně snadný krok. Aby měla smysl, je důležitá prvotní analýza, správné nastavení kodexu a souvisejících procesů a systémů, a poté otestování a vyhodnocení finálního stavu. Směrnice GDPR nařízení je zároveň příležitostí zvýšit celkovou kybernetickou bezpečnost a zároveň nevyhnutelnou zátěží, kterou musí pod pohrůžkou vysoké finanční sankce dodržovat každá firma. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem. Ne každý podnik má dostatečně zkušeného právníka, takže v rámci procesu zavádění GDPR nařízení bude většina firem využívat externí dodavatele služeb. Specialisté vám mohou zpracovat datový audit, audit procesů, připravit kodex ochrany osobních údajů a navrhnout kroky k dosažení shody s GDPR. Pokud budete jmenovat pověřence DPO z řad zaměstnanců, určitě je důležité kvalitní GDPR školení. Ale klíčová je výsledná podoba práce s osobními údaji – a právě její správnost pomůže doladit a potvrdit GDPR audit od certifikované autority. GDPR audit je garancí pro vedení společnosti, důkazem pro ÚOOU a jasným signálem pro zákazníky, že se jedná o seriozního obchodního partnera. Přitom cena GDPR auditu nemusí být nijak horentní – pokud je zavedení GDPR transparentní a správně zdokumentované.
GDPR nařízení česky a s komentáři
Již v květnu 2018 začne platit nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – zkráceně GDPR nařízení, česky potom ONOOÚ. Tato směrnice přináší nová práva a povinnosti při práci s daty o občanech EU. Je to tím pádem žhavé téma, které se týká velkého množství subjektů – téměř všech podnikatelů, firem a organizací, včetně veřejného sektoru. Seriozní organizace musí mít do května 2018 hotovou implementaci GDPR a ideálně i nezávislý GDPR audit.
Jak se GDPR dotýká firem?
Poměrně zásadním způsobem. Ve společnostech by měl být jmenován tzv. pověřenec dohlížející na ochranu osobních údajů. To však není jediná povinnost. Důležité je také zavedení nejrůznějších kodexů souvisejících s touto tématikou, včetně nových procesů a systémů. GDPR nařízení je zkrátka nevyhnutelnou zátěží, kterou musí pod pohrůžkou poměrně vysoké finanční sankce dodržovat skutečně každý. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.
Nařízení GDPR česky a s komentářem
Asociace za lepší ICT řešení připravila pro všechny firmy a podnikatele on-line verzi nového zákona o ochraně osobních údajů GDPR česky, včetně komentářů, návodů a vodítek regulátora. Protože se jedná o celoevropské nařízení, je znění GDPR zákona finální a závazné i v České republice. Některé aspekty, např. věkovou hranici dětí či úlevy pro malé podnikatele, může v mezích GDPR nařízení ještě upřesnit český Úřad na ochranu osobních údajů. Asociace na webu www.lepsi-reseni.cz průběžně aktualizuje přehled komentářů ÚOOU a seznam dodavatelů informačních systémů, kteří jsou schopni pomoci se zavedením nových požadavků na ochranu a zpřístupnění osobních údajů.
GDPR nařízení
Jak zjistit, zda se na vás GDPR nařízení vztahuje? Nejlepší je obrátit se na odborníky. Po celé ČR postupně probíhají různé konference na toto téma, navíc je možné obrátit se na dodavatele ICT, kteří se zavedením GDPR pomohou. V každém případě je dobré nenechávat vše na odbornících, něco si musíte nastudovat rovněž sami, abyste vůbec věděli, o čem je řeč. Asociace za lepší ICT řešení proto připravila i GDPR česky – v češtině najdete kompletní znění GDPR a také odpovědi na základní otázky.
GDPR nařízení – co se přesně změní?
Abychom vás novým GDPR nařízením jenom neděsili, musíme uznat, že řada nařízení u nás fungovala i doposud. Těch nových je však nemálo. Firmy budou muset důkladně informovat majitele údajů o jejich právech. Majitel informací bude moci například vznést námitku proti zpracování. Lidé budou muset mít přímý přístup k údajům, aby se mohli podívat, co o nich kdo shromažďuje. Nově se změní také chápání osobních údajů, budou pod ně spadat i e-mail, IP adresa a cookies. Organizace budou mít také povinnost do 72 hodin oznámit odcizení osobních údajů, aby se nestávalo, že podobné kauzy vyplynou na povrch až po několika letech.
Jaké povinnosti budou firmy mít?
Budou muset vést záznamy o činnostech zpracování, ohlašovat porušení zabezpečení Úřadu pro ochranu osobních údajů a majitelům dat, stanovit pověřence pro ochranu osobních údajů atd. Povinností je vícero, na internetu najdete mnoho zdrojů, které se jim věnují a lépe je popisují. Případně se podívejte na kompletní znění GDPR česky.
Jestliže GDPR nařízení zazdíte, nebo jej budete porušovat, čekají vás poměrně vysoké pokuty. V některých případech mohou být zajisté likvidační, jelikož se jedná o částky až do výše 20 000 000 eur nebo 4 % z ročního obratu společnosti (bere se vyšší možnost). I společnost s pěti zaměstnanci může dostat pokutu, jestli nebude dodržovat GDPR nařízení.
Už se připravujete na GDPR nařízení platné od 25. května 2018?
Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů. To je aktuálně velice žhavé téma, které se týká poměrně velkého množství subjektů. Zkráceně GDPR nařízení začne platit s účinností od 25. května 2018 a vztahuje se na řadu právnických osob a podnikatelů, včetně veřejného sektoru.
Jaké jsou chráněné osobní údaje?
Výše uvedené nařízení se týká ochrany osobních údajů, mezi něž patří jméno, bydliště, datum narození, rodné číslo, ale také číslo pasu, občanského průkazu nebo toho řidičského. Výjimkou nejsou ani některé elektronické údaje.
Jak se GDPR dotýká firem?
Poměrně zásadním způsobem. Ve společnostech by měl být jmenován tzv. pověřenec dohlížející na ochranu osobních údajů. To však není jediná povinnost. Důležité je také zavedení nejrůznějších kodexů souvisejících s touto tématikou, včetně nových procesů a systémů. Nařízení GDPR je zkrátka nevyhnutelnou zátěží, kterou musí pod pohrůžkou poměrně vysoké finanční sankce dodržovat skutečně každý. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.
Využijte profesionální GDPR audit
Jestliže zrovna nedisponujete zkušeným právníkem ve své společnosti nebo organizaci, na níž se vztahuje GDPR, upotřebte externích služeb a konzultací. Nechte si v této otázce poradit od specialistů, jež vám zpracují kompletní GDPR audit od certifikované autority.
Pakliže zacházíte s osobními údaji a nakládáte s nimi v rámci nejrůznějších podnikatelských aktivit, začněte v této oblasti konat patřičné kroky. Datum účinnosti se blíží mílovými kroky a vy musíte být připraveni na GDPR nařízení v plné míře.
Vymaňte se z hledáčku organizací, které zanedlouho půjdou po striktním dodržování ochrany osobních údajů, a buďte v obraze. Nechte si zpracovat GDPR datový audit, včetně auditu kodexu.
Nařízení GDPR od EU – dodavatelé, český text a audit
Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation, zkratka GDPR) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů je nařízení Evropské unie zvyšující ochranu osobních dat občanů EU, ale také nároky na firemní postupy a informační systémy.
Evropské GDPR nařízení o ochraně osobních údajů nabývá účinnosti 25. května 2018.
Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části nařízení GDPR se nevztahují na organizace s méně než 250 zaměstnanci.
Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.
Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob. Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT.
Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.