Ochrana osobních údajů mění tvář aneb GDPR v praxi

thumb

Za téměř rok, 25. května 2018, začne v Evropské unii platit General Data Protection Regulation (GDPR) neboli Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů. Celkově se dá říci, že se jedná o revoluční krok v ochraně osobních údajů, který mimo jiné zajišťuje přímou aplikovatelnost ve všech členských státech. Nařízení tím také nastavuje stejnou laťku ochrany údajů ve všech členských státech, které mají nadále možnost upravit pravidla ještě přísněji. V českém prostředí se ale nemusí organizace natolik obávat dramatických změn, neboť již zákon č. 101/200 Sb., o ochraně osobních údajů stanovoval poměrně přísné požadavky na zacházení s osobními údaji. Podívejte se společně s námi na nejvýznamnější změny, důležitou terminologii a vhodné postupy v rámci implementace požadavků.

Co jsou osobní údaje podle GDPR?

Osobními údaji podle nařízení jsou veškeré informace o fyzické osobě (v nařízení je definována jako „subjekt údajů“), pomocí kterých můžeme danou osobu přímo nebo nepřímo identifikovat pomocí získaného údaje. Typicky jsou údaji: jméno, identifikační číslo, údaje o místě fyzické osoby (lokalizace), IP adresa či nějaký jiný jedinečný údaj.

Jaké novinky nařízení přináší?

Celkově si nařízení klade za cíl zlepšit ochranu subjektů osobních údajů, aby mohli omezit nakládání s nimi, udělit či odvolat souhlas s jejich zpracováním či mít právo být zapomenut, tedy být jednoduše vymazán z dokumentace. Mezi novinky v rámci ochrany patří zejména:

  • - nově vzniklý Evropský sbor pro ochranu osobních údajů (EDPB)
  • - sankce při porušení ve výši 20.000.000 € / 4 % z celkového ročního obratu
  • - funkce Pověřenec pro ochranu osobních údajů
  • - prokazování splnění podmínek pomocí kodexů a certifikátů
  • - rozsáhlejší informační povinnost správce a zpracovatele
  • - větší ochrana osobních údajů
  • - šifrování a pseudomizace osobních údajů
  • - oznamovací povinnost při úniku osobních údajů (data breaches)

Na správce a zpracovatele osobních údajů dopadají kromě výše uvedeného také povinnosti vyplývající z principu „zodpovědnosti“, který zahrnuje:

  • - implementaci opatření pro nezbytnou ochranu dat
  • - vedení evidence a dokumentace o zpracování
  • - vypracování DPIA – analýza dopadů na ochranu osobních údajů
  • - potřebnou konzultaci s dozorovým úřadem (v ČR Úřad pro ochranu osobních údajů)
  • - Privacy by Design (opatření, udělení souhlasu a minimalizaci sbíraných dat od samotného počátku)
  •  

Kdo je pověřenec, správce a zpracovatel?

Tři důležité subjekty, samozřejmě kromě samotné fyzické osoby, jež se osobní údaje týkají.

Správcem je subjekt určující účel a prostředky zpracování osobních údajů a dále provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Typicky jde tedy např.: o operátora, e-shop, banku, nemocnici a další.

Za zpracovatele je považována fyzická nebo právnická osoba, orgán veřejné moci, agentura či jiný subjekt, který jménem správce zpracovává osobní údaje.

Pro jednodušší pochopení si můžeme uvést následující příklad. Pan Veselý si právě kupuje nové boty přes e-shop Nohy v teple. Zde je vyzván k zadání osobních údajů v rámci registrace. Pan Veselý vyplní v e-shopu Nohy v teple potřebné údaje (jméno, příjemní, adresu, email a telefonní číslo). Nohy v teple využívají uvedené údaje dále pro zasílání newsletterů a výhodných nabídek pro registrované zákazníky v rámci věrnostního programu Tlapičky. Ukáže se, že e-shop má mnoho práce a rozhodne se všechna data klientů převést do cloudového uložiště společnosti Mrak, kde mají jistotu, že jsou data chráněna. Pro naše potřeby je pan Veselý subjekt údajů, e-shop Nohy v teple je správcem a provozovatel cloudového uložiště Mrak je zpracovatelem.

Osoba Pověřence pro ochranu osobních údajů neboli Data Protection Officer (DPO) je nově vzniklá pracovní pozice, která má za úkol kontrolovat dodržování souladu nařízení, komunikaci, školení, vedení interních auditů a celkové nastavení ochrany osobních údajů. Pozice pověřence je pro některé správce a zpracovatele povinná.

Na koho nová pravidla dopadají?

V rámci nastavení ochrany osobních údajů stanovuje nařízení nové povinnosti pro firmy, instituce i jednotlivce pracující s osobními údaji, ať se jedná o údaje zaměstnanců, klientů, dodatelů či zákazníků bez ohledu na segment podnikání.

Typicky jde o odvětví:

  • - bankovnictví
  • - telekomunikace
  • - zdravotnictví
  • - leasingové společnosti
  • - finanční instituce
  • - bezpečnostní agentury
  • - e-shopy
  • - pojišťovny

a další firmy využívající věrnostní programy a emailové kampaně (retargeting a kampaně cílené podle vyhledávání), behaviorální marketing atd.

Chcete vědět více, abyste nic nezanedbali? Podívejte se na produktový leták nebo nám napište a společně vše připravíme.

Podívejte se na také na naše služby a kurzy v rámci GDPR.

Nezapomeňte na náš webinář GDPR, který je pro vás v roce 2017 zdarma jako dárek.