image

Zavádění GDPR:

Víme, jak celý proces maximálně ulehčit

4 kroky k úspěšnému zavedení GDPR do vaší firmy

 

První krok musíte udělat sami. Další tři uděláme za vás.

1

Zmapování stavu

Zmapujte současnou podobu nakládání s osobními údaji, abyste věděli, co přesně potřebujete technologicky podchytit.

2

Správa dat

Nastavíme interní procesy správy dat tak, aby splňovaly zákonné požadavky.

3

Ochrana před hrozbami

Zabezpečíme firemní intranet, abyste snáze detekovali hrozby.

4

Dokumentace

Vytvoříme infrastrukturu, která umožní snadné vedení dokumentace.

Co je GDPR a koho se týká?

GDPR (General Data Protection Regulation) je nový právní rámec ochrany osobních údajů, který vejde v platnost 25. května 2018. Týká se všech firem a institucí, které zpracovávají osobní údaje Evropanů (zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími), včetně těch, které sledují či analyzují chování uživatelů na webu, ale také při používání aplikací nebo chytrých technologií.

Porušení nařízení bude postihováno astronomickými pokutami: maximální sazba činí 20 milionů eur nebo 4 % z celkového ročního obratu společnosti – cokoliv je vyšší.

Klíčové změny oproti stávající úpravě

ico
Posílení práv fyzických osob
ico
Povinnost správce umět doložit souhlas se zpracováním
ico
Přísné požadavky na zabezpečení osobních údajů
ico
Povinnost ohlašovat porušení zabezpečení
  • Nutné souhlasy se zpracováním osobních údajů
  • Právo na opravu chyb
  • Právo na výmaz – být zapomenut

Nejčastější otázky

Co musí obsahovat analýza výchozího stavu?

Analýza výchozího stavu je nejdůležitější krok celého procesu zavádění GDPR, bez kterého jsou další kroky nemyslitelné. Mapuje totiž veškeré interní procesy, které souvisejí se zpracováním osobních údajů, a slouží jako klíčový podklad pro návrh konkrétního technického řešení.

Obvykle taková analýza popisuje, jaké osobní údaje firma zpracovává. O kom, k čemu je používá, odkud je získává, komu je předává a zda disponuje platnými souhlasy se zpracováním.

Za osobní údaj jsou považovány veškeré informace o fyzické osobě, podle kterých ji lze přímo či nepřímo identifikovat. Kromě obecných identifikátorů jako jméno, pohlaví, věk, datum narození či osobní stav jsou to i údaje jako IP adresa, fotografický záznam, e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Mezi citlivé údaje, kterým nařízení věnuje speciální pozornost, patří informace o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Nově na seznamu přibyly také genetické a biometrické údaje a osobní údaje dětí.

Nařízení se nevztahuje na anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter, tj. zpracováváme je pro osobní potřebu a s nikým je nebudeme sdílet.

Zpracování osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Jakékoliv zpracování osobních údajů občanů Evropské unie by mělo být prováděno v souladu s nařízením, bez ohledu na to, zda k němu dochází v EU nebo mimo ni.

Z nařízení je vyjmuto pouze zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti.

S osobními údaji musí být nakládáno dle zákon, tzn. korektním a transparentním způsobem. Shromažďovány mohou být pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

Při uchovávání musejí být náležitě zabezpečeny vhodnými technickými nebo organizačními opatřeními před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, přičemž úroveň zabezpečení musí odpovídat danému riziku.

Že je zpracování prováděno v souladu s nařízením, musí být správce schopen doložit a zavedená opatření musí podle potřeby revidovat a aktualizovat.

S tím vám pomůžeme my. Kontaktujte nás pro podrobnosti.

Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřeno svobodným, konkrétním, informovaným a jednoznačným svolením fyzické osoby. To má podobu písemného (i elektronického) nebo ústního prohlášení. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely.

Může se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby nebo jiné prohlášení, které jasně signalizuje souhlas subjektu s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas.

Ano, správce musí být schopen doložit, že fyzická osoba udělila souhlas se zpracováním svých osobních údajů. Uživatel má navíc právo svůj souhlas kdykoliv odvolat, přičemž odvolání souhlasu musí být stejně snadné jako jeho poskytnutí.

Ano, jakékoli porušení zabezpečení osobních údajů musí správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu.

Dokumentace ke každému případu porušení zabezpečení musí obsahovat skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.

Ano, správce musí na vyžádání a bez zbytečného odkladu opravit nepřesné osobní údaje, které se týkají dané fyzické osoby.

Ano, správce musí na vyžádání a bez zbytečného odkladu vymazat osobní údaje, které se týkají dané fyzické osoby.