2K Consulting

social1 social2  social4

Co je to GDPR a čím začít?

Co je to GDPR?

Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protetion Regulation) je největší revolucí v oblasti ochrany osobních údajů za posledních 20 let, které zásadně zpřísňuje pravidla pro ochranu osobních údajů.

Nařízení GDPR představuje nejkomplexnější úpravu a regulaci práce s osobními údaji. Zavádí řadu nových pojmů a kategorií. Vedle tradičních údajů, které jsou obecně chápány jako osobní, sem patří i údaje technického rázu (IP adresa nebo cookies), a jako kategorie údajů hodné zvláštního zřetele definuje osobní údaje vypovídající o původu, politických názorech, náboženském či filozofickém vyznání, zdravotním stavu apod., genetické a biometrické údaje, osobní údaje dětí apod.

GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv – včetně práva „být zapomenut“. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer).

Více k našim službám najdete v sekci Naše služby v rámci GDPR  nebo přehledně zde (PDF dokument).

***

Úplné znění nařízení GDPR (česká verze)

Úplné znění nařízení GDPR (anglická verze)

Vodítka pracovní skupiny WP29 k nařízení GDPR (české překlady ze stránek ÚOOÚ)

***

Audit  GDPR, aneb čím začít

Před zahájením spolupráce s 2K Consulting s.r.o. nejprve zrevidujeme stávající stav nakládání s osobními údaji ve Vaší organizaci. Veškerá námi navrhovaná opatření jsou v souladu s pravidly GDPR. Nedodržení tohoto nařízení bude považováno  za zneužití ochrany osobních údajů s trestně právní odpovědností statutárního zástupce organizace. Kontrolu dodržování pravidel GDPR a osobních úřadů budou provádět inspektoři z Úřadu pro ochranu osobních údajů.

 

V rámci auditní činnosti realizujeme tyto následné kroky:

1/  Dodržení implementace ochrany osobních údajů dle zákona č.101/ 2000 Sb., včetně registrace a plnění povinností vůči Úřadu na ochranu osobních údajů.

2/ Analýza současného stavu ochrany osobních údajů u organizace s cílem identifikovat výchozí skutečnosti.

  • Zjištění agendy, činnosti a procesů , v rámci kterých jsou u organizace zpracovávány osobní údaje.
  • Ověření stávajícího systému řízení  nakládání s osobními údaji ve vztahu ke kybernetické bezpečnosti.
  • Způsob plnění informační povinnosti při shromaždování osobních údajů
  • Zjištění povinnosti jmenovat pověřence na ochranu osobních údajů
  • Subjekty, které se na zpracování osobních údajů podílí
  • Zpracování a obsah osobních údajů a za jakým účelem je s nimi nakládáno.
  • Zjištění současného stavu technických a organizačních opatření a návrhu implementace nařízení GDPR, aby byla zajištěna ochrana osobních údajů.
  • Zjištění v jakém stavu jsou dokumenty, jak je vedena archivace a doporučení k vytvoření chybějící dokumentace.
  • Kontrolní činnost

3/ Seznámení s výsledky auditní činnosti.

  • Porovnání zjištěných skutečností, co daná organizace splňuje, kde má dojít k nápravě
  • Předložení upřesnění a výkladů ke směrnici GDPR
  • Pokračování spolupráce na základě smlouvy o poskytování služeb

***

HLAVNÍ ZNAKY GDPR

  1.  Nařízení GDPR je jednotně aplikovatelné v celé EU
  2. V případě rozsáhlých zpracování požaduje jmenování DPO (Data Protection Officer)
  3. Při rizikových zpracováních požaduje provedení DPIA (Data Protection Impact Assessment) a případně též konzultaci s ÚOOÚ
  4. Posiluje práva subjektů údajů a zakládá práva nová – právo být zapomenut, právo na portabilitu apod.
  5. Přináší nepoměrně vyšší sankce za porušení ochrany osobních údajů (oproti dosavadním spíše symbolickým sankcím lze nyní uložit sankce až do výše 20 mil. EUR nebo 4 % celosvětového obratu podniku)

Nařízení GDPR nabude účinnosti 25. května 2018 a bude přímo aplikovatelné na veškerá zpracování osobních údajů v rámci EU.

***

V rámci GDPR je nutné plnit nové povinnosti:

  1. Provádět analýzu rizik posouzení dopadu činnosti na ochranu osobních údajů
  2. Spolupracovat s Úřadem pro ochranu osobních údajů (ÚOOÚ)
  3. Vést záznamy o zpracováních osobních údajů
  4. Analyzovat a ohlašovat případy narušení bezpečnosti
  5. Jmenovat pověřence ochrany osobních údajů – Data ProtectionOfficer (DPO)
  6. Zajistit práva fyzických osob (právo být zapomenut, právo na přenositelnost, právo přístupu)

 

V praxi to znamená provedení celé řady systémových změn uvnitř organizace.

Navíc pro mnoho komerčních subjektů, které jsou certifikovány podle mezinárodních standardů, například ISO 9001, ISO 27001, aj., to znamená provedení revize stávajících systémů řízení.

 

***

Kdo je odpovědný za splnění všech požadavků GDPR?

Odpovědnou osobou jsou dle tohoto zákona:

  1. statutární orgán nebo člen statutárního orgánu
  2. ten, kdo vykonává rozhodující vliv
  3. zaměstnanec nebo osoba ve vedoucím postavení

 

V případě selhání při zajištění shody s požadavky GDPR, hrozí tzv. „odpovědným osobám“ i trestněprávní odpovědnost dle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (ve znění novely č. 183/2016 Sb.)

***

Hospodářská komora ČR vydala nová pravidla pro ochranu osobních dat, které jsou doplněny i praktickými příklady, ke stažení zde:

Příručka: Nová pravidla ochrany osobních údajů

***

Budete-li mít zájem o zpracování vnitřních směrnic a aplikace metodiky ke GDPR, pak využijte našich služeb. Další důležité odkazy naleznete níže.

***

Úřad pro ochranu osobních údajů:  https://www.uoou.cz/

Informace Evropská komise k ochraně dat:  http://ec.europa.eu/justice/data-protection/index_en.htm

Evropský inspektorát ochrany osobních údajů:  https://edps.europa.eu/edps-homepage_en?lang=cs

Informace OECD k ochraně osobních údajů: http://www.oecd.org/sti/ieconomy/oecdguidepersonaldata.htm

European Cloud Alliance: http://www.europeancloudalliance.com/

Národní bezpečtnostní úřad: https://www.nbu.cz/

Národní centrum kybernetické bezpečnosti: https://www.govcert.cz/


2K Consulting s.r.o. © 2015