Advice4All poradenství pro systemy managementu

GDPR (General Data Protection Regulation), Obecné nařízení o ochraně osobních údajů

Celý název je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů).

Co je GDPR

Obecné nařízení, které sjednocuje pravidla pro zpracování osobních údajů ve všech státech Evropské unie (a Islandu, Norska a Lichtenštejnska). Důvodem pro vznik tohoto nařízení byl posun ve zpracování osobních údajů, při kterém se dnes využívá daleko komplexnějších metod a dokonalejší techniky než dříve (např. sledování pohybu osob pomocí GPS aplikací nebo čipových karet, kamery, které rozpoznají detaily obličeje). GDPR především posiluje práva a ochranu osobních údajů občanů.
Právní úprava ochrany osobních údajů není v našich podmínkách novinkou. Zákon č. 101/2000 Sb., zákon o ochraně osobních údajů a o změně některých zákonů používal obdobnou terminologii a stanovil obdobná práva a povinnosti. GDPR podrobněji upravuje a rozšiřuje práva fyzických osob, jejichž údaje jsou zpracovávány a přidává některé povinnosti správcům a zpracovatelům osobních údajů, tj. subjektům, které pracují s osobními údaji (právnické osoby i OSVČ). Významně také zvyšuje sankce, v původním zákoně byla maximální výše 10 000 000 Kč (nebyla nikdy udělena), nově to je až 20 000 000 EUR nebo 4 % celosvětového ročního obratu.

K novinkám v ochraně osobních údajů patří právo na přenositelnost údajů. Toto právo posiluje postavení zákazníků. Fyzická osoba (typicky zákazník) má právo získat své osobní údaje, správce má povinnost tyto údaje předat novému správci (zpravidla konkurenci).

Novou povinností správců je ohlašování případů úniku či ohrožení zabezpečení osobních údajů dozorovému úřadu (ÚOOÚ – Úřad pro ochranu osobních údajů) a dotčeným fyzickým osobám nejpozději do 72 hodin od okamžiku, kdy se o incidentu dověděli.
Nařízení vysloveně požaduje vést písemné záznamy o činnostech zpracování. Tato povinnost se nevztahuje na malé a střední podniky s méně než 250 zaměstnanci, pokud zpracování nepředstavuje riziko pro práva a svobody fyzických osob a/nebo se nezpracovávají citlivé údaje.
Pokud zpracování osobních údajů bude mít za následek vysoké riziko pro právo a svobody fyzických osob, nově bude muset správce před zpracováním posoudit vliv zpracování na ochranu osobních údajů. K vysoce rizikovým operacím patří použití nových technologií, automatické, systematické zpracovávání a hodnocení osobních údajů (např. behaviorální reklama), velkokapacitní monitorování veřejného prostoru (např. kamerový systém), velkokapacitní zpracovávání citlivých údajů. Úřad pro ochranu osobních údajů sestaví seznam operací, které podléhají posouzení vlivu.
Novou povinností je také jmenování pověřence pro ochranu osobních údajů. Tato povinnost nastává, pokud hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování osob nebo v rozsáhlém zpracovávání zvláštních kategorií údajů. Příkladem může být zpracovávání údajů o pacientech v nemocnici nebo zpracovávání údajů zákazníků bankou.

Na koho se GDPR vztahuje

Nařízení se vztahuje na všechny, kdo jakkoliv zpracovávají osobní údaje (včetně OSVČ), nejsou přípustné výjimky. Správcem osobních údajů, je každý, kdo získává údaje o fyzických osobách. To zahrnuje veškeré osobní údaje, v jakékoliv podobě (elektronické i papírové), které jsou shromažďovány a zpracovávány, např. jméno, pohlaví, datum narození, adresa, telefonní číslo, email, atd. Nerozhoduje, zda správci povinnost zpracovávat údaje vyplývá z legislativy (např. mzdová a personální agenda) nebo je zpracovává pro vlastní potřebu (smlouvy o koupi zboží nebo služeb, reklama).

Přínosy GDPR

Vzhledem ke stále častějším krádežím a únikům dat, lze zpřesnění a zpřísnění pravidel ochrany osobních údajů vnímat pozitivně. Společnosti

Naše nabídka

Není stanovený závazný postup, jak požadavky nařízení GDPR v organizacích zpracovat a zavést do praxe. Nabízíme vlastní osvědčený postup zahrnující:
1) seznámení s požadavky nařízení GDPR formou školení
2) provedení analýzy, jaké osobní údaje se ve společnosti zpracovávají a jakým způsobem se s nimi pracuje
3) návrh úpravy vnitřních norem a procesů společnosti k zajištění ochrany osobních údajů a školení zaměstnanců na základě provedené analýzy
4) provedení interního auditu k ověření funkčnosti stanovených postupů v praxi
U společností s certifikovaným systémem managementu (QMS, EMS, OHSAS, atd.) využijeme při návrhu potřebných změn v maximální možné míře již existující postupy a dokumentaci.
Vaše dotazy rádi zodpovíme - kontaktujte nás.

  • Úvod
  • Novinky
  • Kvalita - ISO 9001
  • Životní prostředí - ISO 14001
  • Bezpečnost - ISO 45001
  • SCC
  • HACCP
  • GMP+
  • GDPR
  • IRIS
  • CFSC 2002 (C-o-C)
  • AQAP
  • Zavádění systémů
  • Audity, správa a zlepšování
  • Školení
  • O nás
  • Kontakt
    •
    Autoři: Markéta a Tomáš Tichých | tisk | nahoru