GDPR - jak postupovat?

GDPR je poslední týdny snad nejčastěji skloňovaná zkratka. V plném znění General Data Protection Regulation je revoluční legislativou EU, která si klade za cíl výrazně zvýšit ochranu osobních údajů občanů. Co to s sebou přináší za opatření?

Základní informace o GDPR 

GDPR bylo schváleno a přijato v dubnu 2016 a v platnost u nás vstoupí 25. 5. 2018. 25. květen působí jako veliký strašák pro mnohé instituce, obchody a subjekty. GDPR se týká totiž všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. EU se snaží sjednotit toto nařízení tak, aby mělo univerzální použitelnost ve všech členských státech. Hlavním cílem je lepší ochrana osobních údajů a kontrola nad tím, co se s údaji děje.

GDPR začne v celé EU platit jednotně právě od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Zahájení je naplánováno až na polovinu příštího roku z toho důvodu, aby měli všichni dostatečný čas na přípravu a zrevidování svých informačních systémů

Kompletní znění GDPR v češtině  ←

Osobní údaje a GDPR

Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Patří sem tedy následující:
  • Jméno, pohlaví, věk a datum narození,
  • osobní stav,
  • fotografický záznam.
  • Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.
  • Nově sem bude patřit tedy e-mail, IP adresa a cookie v zařízení uživatelů.
Do kategorie citlivých údajů spadají genetické, biometrické údaje a osobní údaje dětí. Zpracování těchto citlivých osobních údajů podléhá tedy mnohem přísnějšímu režimu, než je tomu u ostatních obecných údajů.

GDPR květen 2018

Na koho se tedy GDPR vztahuje?

  • Shromažďovatelé a zpracovatelé osobních údajů občanů EU (firmy, státní instituce, neziskové organizace atd.).
  • Všechny, kdo provádí analytiku návštěvnosti webů/eshopů a aplikací
  • I na subjekty, které vystupovali pouze jako správci dat (např. naše firma Shean, kde mají data uloženy e-shopy).
  • Díky tomu, že platí napříč celou EU, i když působím, analyzuji apod. pouze v zahraničí (EU), tak je platná i pro mě. 

Povinnosti vyplývající z legislativy GDPR

  • Povinnost dokumentovat, jak data zpracovávám.
  • Zpracovávat pouze ta data, která jsou k danému účelu potřebná.
  • Pokud si občan zažádá o výpis dat, musí mu daný subjekt poskytnout veškerá jeho data co má k dispozici, ve strukturované podobě a nejlépe online.
  • Pokud občan vysloví námitku, držitel dál nemá možnost tyto data zpracovávat (kromě závažných a opodstatněných důvodů) a musí je neodkladně odstranit.
  • Pokud je podána námitka na zpracování údajů, musí být v uložišti těchto údajů znemožněno s nimi dále pracovat (i je měnit) a musí být označeny.
  • Povinnost informovat o úniku osobních údajů, případně narušení jejich bezpečnosti do 72 hodin od chvíle kdy se o tom jejich držitel dozvěděl.
  • Pravděpodobně osobní data šifrovat (nejasnosti viz implementace ochrany dat atd.)
  • Pseudoanonymizace dat (sbíraní dalších dat o občanovi bez možnosti si je spojit s konkrétní osobou).
  • Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
  • Pokud bude chtít např. provozovatel eshopu údaje občana předat k marketingovému zpracování (nejen jinému subjektu), musí k tomu mít výslovný souhlas, který nebude podmíněn využitím služby, tzn. mohu nakoupit, i když nesouhlasím se zpracování osobních údajů. 

DPO = Pověřenec pro ochranu osobních údajů

Ve spojitosti s GDPR je často zmiňován také DPO. O koho se ale jedná? Jmenování tzv. pověřence pro ochranu osobních údajů (Data Protection Officer) bude důležitým pilířem prokazování dodržování GDPR
Hlavním úkolem DPO bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat.

Povinnost jmenovat pověřence nastává v následujících případech:
  • Zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů) – banky, nemocnice.
  • Hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů – využití mailingu.
  • Hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů – sledování polohy.
V každém případě by měl být správci nebo zpracovateli nápomocen právě DPO, který by měl mít odborné znalosti v oblasti právních předpisů a postupů týkajících se ochrany údajů a měli by být schopni plnit své povinnosti a úkoly nezávislým způsobem. Pověřenec může být klidně jmenovaný i pro více subjektů a on sám nenese žádnou osobní odpovědnost za případné nedodržování GDPR

Kdo je DPO u GDPR

Co hrozí, pokud nebudeme dodržovat podmínky GDPR?

Vzhledem k tomu, že je nastaven dostatečný časový limit na přípravu, GDPR zavádí za nedodržování vysoké pokuty a sankce. Maximální výše sahá do limitu 20 000 000 EUR, případně 4 % z celkového ročního obratu společnosti. Záležet bude na více faktorech, ale musíte počítat s tím, že vysoká sankce může být udělena i menší společnosti s málo zaměstnanci! Stejně tak mohou firmy žalovat fyzické osoby, které si mohou nárokovat náhradu škody v případě hmotné i nehmotné újmy

Jak máme řešit GDPR? 

Vzhledem k tomu, že GDPR se netýká pouze eshopu, nebo webu, ale celé vaší firmy, prosíme všechny naše klienty, aby celé přípravě dali vysokou prioritu a spojili se přímo se specializovanou firmou zabývající se GDPR, případně svými právníky. 

Naše firma Shean bude GDPR samozřejmě řešit s ohledem na naše povinnosti, které z GDPR vyplývají a zapracovávat vaše požadavky, dle toho jak budete mít GDPR implementováno ve vaší firmě.






 
Zpět na výpis článků

Proč spolupracovat s námi?

Spojujeme svět marketingu a tvorby na internetu – naše řešení prodávajíSpojujeme svět marketingu a tvorby na internetu – naše řešení prodávají
Stále se vzděláváme a vymýšlíme nové služby usnadňující práci nám a našim zákazníkůmStále se vzděláváme a vymýšlíme nové služby usnadňující práci nám a našim zákazníkům
Máme vlastní systém včetně technické podpory – jsme nezávislíMáme vlastní systém včetně technické podpory – jsme nezávislí
Účastníme se konferencí, sledujeme aktuální trendy u nás i v zahraničíÚčastníme se konferencí, sledujeme aktuální trendy u nás i v zahraničí
Naším obchodníkem jsou referenceNaším obchodníkem jsou reference
Do projektů neustále implementujeme nové technologieDo projektů neustále implementujeme nové technologie
Jsme lidští – vzájemné nápady konzultujemeJsme lidští – vzájemné nápady konzultujeme
Máme více jak 10 roků zkušenostíMáme více jak 10 roků zkušeností

Co o nás říkají klienti

“S firmou Shean s.r.o. spolupracujeme již více než 8 roků. Je pro nás stabilním partnerem s výbornými výsledky práce.”

Ladislav Horčica,  Oknostyl.cz
Ladislav Horčica, Oknostyl.cz jednatel Oknostyl Group s.r.o.

Máte dotaz k tvorbě internetových stránek?

Napište nám. Nebo nás kontaktujte telefonicky.

533 312 782info@shean.cz

Chcete být v obraze?

Přihlaste se k našemu newsletteru.