GDPR mění řadu pravidel, nepřináší ale revoluci v ochraně osobních údajů

GDPR* upravuje řadu aspektů v evropské ochraně soukromí a zavádí některé novinky, většina stávajících principů ale zůstává zachována. Pro organizace, které splňují požadavky současné legislativy, se tak situace zásadně nemění.

GDPR vzniklo v roce 2016 (účinnosti ale nabývá až 25. května 2018) s cílem posílit ochranu práv občanů Evropské unie při nakládání s jejich osobními údaji, nařízení se tak týká všech, kdo jakkoli pracují s osobními daty – ať již poskytovatelé služeb, e-shopy, online služby, tak třeba i zaměstnavatelé.

Vedle povinností ale GDPR přináší i výhody a příležitosti. Pokud společnost podniká ve více zemích Evropské unie, může spoléhat na jednotná pravidla ochrany osobních údajů, není tak nutné produkt modifikovat pro různé státy. GDPR nastavuje stejná pravidla hry pro všechny, a to včetně společností, které mají sídlo mimo EU, ale do států Evropské unie poskytují své služby. Směrem k zákazníkům pak GDPR může představovat komunikační benefit – staráme se o bezpečí vašich dat.

GDPR je často označováno jako „revoluční nařízení“ nebo „strašák“, děje se tak především kvůli medializaci astronomických pokut až 20 milionů EUR nebo 4 % z celosvětového ročního obratu. GDPR je samozřejmě neradno podceňovat, ale ani ho vnímat jako revoluční změnu. Náš průvodce GDPR vám představí všechny důležité aspekty společnosti, na které je nutné se zaměřit, a jak je řešit.

*The General Data Protection Regulation, Nařízení Evropského parlamentu a Rady (EU) 2016/679

Nezávazná konzultace



Jaké novinky GDPR přináší?






Celosvětová účinnost

GDPR se vztahuje na všechny podnikatele, nezávisle na jejich právní formě, kteří podnikají v rámci Evropské unie nebo do ní poskytují své služby či produkty a zpracovávájí při tom osobní údaje. Řada zámořských společností, která dosud unikala evropským regulacím, se tak nově musí přizpůsobit požadavkům GDPR. Týká se to mnoha společností včetně gigantů, jako je Google či Facebook.

Jak GDPR řeší velké služby a reklamní sítě?

Silnější pozice spotřebitelů

GDPR vzniklo se záměrem lépe chránit soukromí občanů (subjektů dat), a proto jim přiznává některá nová práva. Správce dat je povinen transparentně informovat o rozsahu a účelu zpracovávání dat a vyhovět právům subjektů dat, pakliže o to požádají. Mezi tato práva patří například právo na přístup, právo na výmaz („právo být zapomenut“) nebo právo nebýt předmětem automatizovaného rozhodování.

Jak se připravit na práva spotřebitelů?


Pověřenec pro ochranu osobních údajů

Organizace, které systematicky monitorují subjekty dat nebo rozsáhle zpracovávají citlivé osobní údaje, mají za povinnost zřídit pozici pověřence pro ochranu osobních údajů. Úkolem pověřence je kontrola souladu nákládání s osobními daty s požadavky GDPR, poskytování interních konzultací a proškolování zaměstnanců a kontakt s úřady.
 

Musím mít ve své firmě pověřence?

Zpřísnění pravidel souhlasu

Souhlas, jeden z šesti právních základů pro zpracovávání dat, je s GDPR těžší získat a spoléhat pouze na něj – souhlas musí být svobodný a explicitně vyjádřený. Zavedené způsoby, jako je předzaškrnuté políčko, lišta „Používáním webu souhlasíte s...“ a podobné nejsou dle GDPR platné způsoby získání souhlasu. Souhlas navíc může být kdykoliv odvolán subjektem dat. Souhlas jako právní základ by tak měl být až poslední možností, kdy nelze uplatnit jiný právní titul pro zpracovávání dat.

Jak na nové souhlasy a co s těmi stávajícími?

Zásady pro nakládání s daty

Nařízení definuje šest právních základů, na základě kterých lze zpracovávat osobní údaje – ke každému osobnímu údaji musí existovat alespoň jeden takový základ, jinak je zpracování údaje nezákonné. Data nelze zpracovávat nekonečně, ale jen po dobu trvání účelu, pro který byla získána, poté musí být smazána nebo anonymizována. Systémy, ve kterých se pracuje s osobními údaji, by měly poskytovat adekvátní míru zabezpečení. Ke zpracovávání jako takovému by pak měla existovat dokumentace – pro případ úřední kontroly, ale i jako příručka, pokud subjekt dat požádá o svá práva.

Jak udělat pořádek v datech a vše zdokumentovat?

Co jako firma musíme udělat, abychom byli v souladu s GDPR?

GDPR upravuje řadu aspektů v evropské ochraně soukromí a zavádí některé novinky, většina stávajících principů ale zůstává zachována. Pro organizace, které splňují požadavky současné legislativy, se tak situace zásadně nemění.

Krok 1: Mapování dat a datových toků

Prvním krokem na cestě k souladu s GDPR je zmapování dat, které se ve vaší společnosti nacházejí. S vlastníky jednotlivých datových agend (HR, marketing, atp.) je nutné sepsat jednotlivé datové položky, se kterými pracují, a doplnit k nim původ, místo a dobu uložení, právní základ pro zpracování a další informace. 

Potřebuji pomoc s mapování dat


Krok 2: Nastavení sdílených pravidel

Po zmapování a dokumentaci všech dat v organizaci je třeba vytvořit řídící číselník, který nastavuje jednotná pravidla napříč všemi systémy. Číselník například říká, že zpracováváte e-mailovou adresu v šesti různých kontextech na základě třech právních titulů. Tento nástroj bude vaším vodítkem, když subjekt dat požádá o svá práva a také dokumentací pro případ kontroly z Úřadu pro ochranu osobních údajů.

Potřebuji pomoc s nastavením pravidel


Krok 3: Úprava vnitrofiremních procesů

Vnitropodnikové směrnice jsou ideálním nástrojem k dokumentaci postupů při plnění práv subjektů dat a práci s osobními údaji obecně. Do směrnice nahlédnete, když vás subjekt dat požádá např. o právo na výmaz. Díky směrnici budete vědět, že je nejprve třeba provést identifikaci a požadavek posoudit. A také, že nutně ne všechna data musí být smazána.

Potřebuji pomoc s přípravou směrnic


Krok 4: Technologické změny

Drtivá většina standardních nástrojů a služeb deklaruje připravenost na obecné požadavky GDPR a práva subjektů. Jako organizace budete řešit práva subjektů napříč různými systémy a službami, nabízí se proto částečná automatizace těchto úkonů. A co se službami, které jste si sami vyvinuli? I ty je na GDPR nutné připravit.

Potřebuji pomoc s implementací změn


Nezávazná konzultace

Rádi vám poradíme, pro které agendy vaší společnosti je nutné řešit požadavky GDPR a jak k nim co nejlépe přistoupit.

Povinné