EU GDPR – zabezpečení zpracování osobních údajů

G+
linkedin

Obecné nařízení o ochraně osobních údajů GDPR

Obecné nařízení o ochraně osobních údajů GDPR představuje novou legislativu EU v oblasti zpracování a předávání osobních údajů. S účinností od 25. května 2018 nahradí stávající legislativu, v českém prostředí zákon č. 101/2000 Sb., o ochraně osobních údajů, respektive zákon 101/2000 bude po změnách upravovat některé dílčí národní detaily. 

Evropské nařízení je platné ve všech státech Evropské unie a déle v Norsku, Lichterštejnsku a na Islandu. Kromě společností sídlících v EU se GDPR vztahuje i na společnosti mimo EU, které monitorují chování nebo nabízejí zboží nebo služby subjektům údajů v EU, a to i když nabízejí tuto službu zdarma.

Hlavním cílem nařízení je zajištění ochrany osobních údajů v současných podmínkách digitálního věku, za současného posílení práv subjektů údajů – žijících fyzických osob.

Nařízení zavádí soubor povinností, které vyžadují, aby organizace realizovaly soubor organizačních, technických a bezpečnostních opatření při zpracování osobních údajů.

Co jsou osobní údaje

Osobním údajem je každá informace o identifikované nebo identifikovatelné žijící fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby. Zvláštní režim zpracování je vyžadován při zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů. 

Osobní údaje by měly být zpracovávány způsobem, který zaručí náležitou bezpečnost a důvěrnost těchto údajů, mimo jiné za účelem zabránění neoprávněnému přístupu k osobním údajům a k zařízení používanému k jejich zpracování nebo jejich neoprávněnému použití.

Kdo je správce a kdo zpracovatel

Existují dva typy subjektů odpovídající za nakládání s osobními údaji – správce a zpracovatel. Platí, že každá právnická nebo fyzická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který: 

  • určuje účely a prostředky zpracování osobních údajů je považován za správce,
  • zpracovává osobní údaje pro správce, je považován za zpracovatele.

Správce by měl využít pouze takového zpracovatele, který poskytuje dostatečné záruky vhodných technických a organizačních opatření k tomu, aby zpracování osobních údajů jeho prostřednictvím splňovalo požadavky nařízení GDPR a byla zajištěna ochrana práv subjektů údajů. 

Odpovědnosti správců a zpracovatelů

Podle článku 5 nařízení GDPR správce odpovídá a musí být schopen doložit dodržování zásad týkajících se zpracování osobních údajů pokud jde o: 

  • zákonnost, korektnost a transparentnost,
  • omezení účelu,
  • minimalizaci údajů,
  • přesnost a aktuálnost údajů,
  • omezení zpracování po dobu nezbytně nutnou,
  • zajištění integrity a důvěrnosti osobních údajů.

Naplnění odpovědnosti správce mají napomáhat mimo jiné i kodexy, osvědčení (pečetě, známky) a záznamy o činnostech zpracování. 

Jak se mohou organizace připravit

Organizacím doporučujeme, aby při implementaci požadavků nařízení GDPR postupovali podle následujícího schématu. Současně doporučujeme, aby v základní dokumentaci, která jim pomůže zajistit dlouhodobě udržitelnou shodu s požadavky EU GDPR, zachytily potřebná organizační, technická a bezpečnostní opatření.  

Postup implementace opatření pro dosažení shody a obsah typové dokumentace EU GDPR Premium Toolkit

Podpora při implementaci – předmět našich odborných služeb

Naši konzultanti vás mohou provést celým cyklem implementace shody s GDPR. Další možností je volba strukturovaného přístupu, kdy dle potřeby zvolíte konkrétní služby, které potřebujete.

Posouzení připravenosti na EU GDPR a plán projektu

Prostřednictvím dotazníku a případně osobních pohovorů ověříme připravenost Vaší organizace na nařízení EU GDPR a zpracujeme plán projektu implementace

Definice politik a vytvoření dokumentace správy práv subjektů údajů

Navrhneme Vám potřebné politiky ochrany osobních údajů, užitečné registry i formuláže pro získávání i odvolávání souhlasu subjektů údajů. Také doporučíme postupy komunikace při porušení zabezpečení osobních údajů.

Inventarizace procesů zpracování

Organizace musí vědět, jaké osobní údaje zpracovávají, z jakého titulu, kde a v jaké podobě se osobní údaje nacházení, jak dlouho jsou či by měly být uchovávány, kdo a jak s nimi pracuje apod.

Posouzení vlivu na ochranu osobních údajů

Doporučíme Vám metodiku posuzování vlivu na ochranu osobních údajů, pomůžeme Vám vytvořit a naplnit odpovídající registr a poskytneme podporu při jednání s dozorovým úřadem.

Předávání osobních údajů a shoda třetích stran

Pomůžeme Vám ověřit, jestli vaši subdodavatelé (zpracovatelé) pracují ve shodě s nařízením EU GDPR, navrhneme procedury pro přeshraniční výměnu osobních údajů a případně navrhneme nebo upravíme smlouvy nebo smluvní doložky.

Zabezpečení zpracování osobních údajů

Pomůžeme Vám posoudit rizika pro zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a navrhneme vhodná organizační a technická opatření.

Zvyšování povědomí a zajištění odborné přípravy

Navrhneme program a obsah zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů.

Kontrola, audit a hodnocení technické shody

Mezi vhodná bezpečnostní opatření patří proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Podpora činnosti pověřence pro ochranu osobních údajů

Někteří správci a zpracovatelé musí povinně jmenovat pověřence, kterým poskytneme služby odborné podpory.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*