GDPR

Co se skrývá pod zkratkou GDPR? Jaké dopady má GDPR z pohledu informačních systémů na Vaši společnost? Jak Vám můžeme být nápomocni? Co znamená nedodržení předpisů GDPR?

Pod zkratkou GDPR (General Data Protection Regulation) se skrývá nařízení Evropské Unie o ochraně osobních údajů v rámci jednotného trhu EU. V souvislosti s rozvojem digitálních technologií má GDPR zajistit pevný a soudržnější rámec pro ochranu údajů, jenž se bude opírat o důrazné vymáhání práva.

Toto nařízení představuje významnou novinku v oblasti zpracování a předávání osobních údajů a má zásadní dopad na všechny subjekty, které s osobními údaji pro různé účely a v různém rozsahu v rámci svého podnikání pracují.

Cíle GDPR

  • umožnit rozvoj digitální ekonomiky na celém vnitřním trhu, a to především prostřednictvím jednotné úrovně ochrany fyzických osob a legislativní podpory
  • zamezit rozdílům bránícím volnému pohybu údajů v rámci vnitřního trhu a hospodářským subjektům poskytnout jistotu a transparentnost
  • správcům a zpracovatelům napříč celou Unií ukládá stejné povinnosti a úkoly pro zajištění důsledného zpracování osobních údajů, přičemž dle vyjádření Evropské komise by mělo dojít také ke snížení administrativní zátěže
  • je přímo aplikovatelné ve všech členských státech
  • zajistit také účinnou kontrolu jeho dodržování a stejné sankce

Výběr důležitých bodů směrnice GDPR

Privacy by Design, Privacy by Default

Nařízení ukládá zavedení vhodných technických a organizačních opatření tak, aby správci zpracovávali pouze osobní údaje, jež jsou pro konkrétní účel zpracování nezbytné.

Správa souhlasů se zpracováním osobních údajů

Nové nařízení s sebou přináší vyšší nároky také při získávání souhlasu se zpracováním. Stejně jako v současné legislativní úpravě bude vyžadován souhlas svobodný, určitý, informovaný a jednoznačný. Souhlas se však bude vztahovat ke konkrétní operaci s daty. Součástí operací s daty musí být schopnost kontrolovat souhlas; souhlas musí být možno odebrat. Pro každou operaci s osobními údaji tak je třeba validovat, zda je odpovídající souhlas pro dané období platný.

Rozšíření definice osobních a citlivých údajů

Definice citlivých údajů byla rozšířena o genetická a biometrická data. Nařízení rovněž výslovně zmiňuje, že i některé on-line identifikátory, jako například IP adresy či identifikátory cookies, mohou být za určitých okolností považovány za osobní údaje.

Práva subjektů osobních údajů

Nařízení přináší celou řadu nových práv pro subjekty údajů. Jedním z nich je například právo být zapomenut. Na jeho základě mohou subjekty požadovat, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jich týkají. Organizace musí být schopna doložit, že k vymazání skutečně došlo ze všech systémů, v nich jsou osobní data udržována.

Oznamovací povinnost v případě porušení zabezpečení

Nařízení ukládá správce osobních údajů novou povinnost ohlašovat porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od chvíle, kdy se o incidentu dozvěděl. V některých případech bude správce povinen informovat i subjekty údajů.

Pověřenec pro ochranu osobních údajů

Správce nebo zpracovatel osobních údajů bude mít povinnost jmenovat pověřence pro ochranu osobních údajů.

Přenášení dat

Směrnice rovněž specifikuje pravidla pro přenášení osobních dat do jiných systémů a jejich přenášení dat přes hranice do jiných zemí. To je obzvláště významné v době cloudových služeb a globálních informačních systémů.

GDPR (General Data Protection Regulation), které se bude týkat převážné většiny společností, vstoupí v platnost 25. 5. 2018. Do té doby se společnosti budou muset na něj připravit. Implementace GDPR si vynutí u většiny společností zásah do stávajících vnitřní procesů pro práci s osobními údaji. V mnoha případech bude ale třeba modifikovat nejen vnitřní procesy, ale i informační systémy, které tyto procesy podporují.

Naši konzultanti prošli mnoha školeními a systematicky se vzdělávají v problematice GDPR tak, abychom našim zákazníkům byli schopni zajistit technickou a systémovou podporu při implementaci GDPR.

Proč zavádět GDPR?

  • Získáte univerzální nástroj pro jednotnou správu metadat a nástroje pro hromadnou realizaci obecných úloh (čtení, mazání) nad všemi IT systémy.
  • Výše pokuty pro společnosti, které dané nařízení nedodrží, mohou dosáhnout maximální výše 20 milionů EUR, nebo 4% z celosvětového ročního obratu v závislosti na typu subjektu.

Chcete se o této problematice dozvědět více? Neváhejte nás kontaktovat.