GDPR - JAK ZAČÍT?

Jak postupovat, krok za krokem:

 

Důsledky GDPR jsou velmi komplexní, proto jsme rozdělili proces do tří skupin, dále rozdělených do podrobnějších oblastí. Pro více informací klikněte na oblast, která vás zajímá.

 

Některé ze zásad nařízení GDPR navazují na stávající směrnici o ochraně údajů. Jmenovitě je o zákonnost a transparentnost, omezení účelu, minimalizaci dat, kvalitu dat, bezpečnost, integritu a důvěrnost.

Nařízení GDPR zavádí nový princip odpovědnosti a to tím, že kontroloři dat jsou zodpovědní za dodržování nařízení. Novinkami jsou:

Zákonnost, spravedlivost a průhlednost – Osobní data musí být zpracována transparentním způsobem ve vztahu k datům subjektu.

Omezení účelu – Archivace osobních údajů, které jsou ve veřejném zájmu, nebudou považovány za neslučitelné s původním účelem zpracování.

Ukládání dat – Osobní data musí být ve formě, která neumožňuje identifikaci dané osoby (subjektu) po dobu ne delší než je nezbytné pro účely zpracování.

Odpovědnost – Kontroloři dat jsou zodpovědní (a musí být schopni dokázat), že dodržují všechny zásady nařízení.

 

 

Až začne nařízení platit, bude nutné implementovat mechanismy, které zajistí snížení rizika úniku dat, a zároveň bude firma muset dokázat, že nařízení dodržuje. Mezi taková opatření řadíme například posouzení dopadů ochrany osobních údajů, audity, přehled politik, záznamy aktivity nebo zaměstnání pověřence pro ochranu dat (Data Protection Officer).

Pověřenec pro ochranu dat (DPO)

GDPR zavádí povinnost pro některé organizace vytvořit pozici pověřence pro ochranu dat. Může jít o interního zaměstnance nebo externího konzultanta.

Pokud jste marketér s velkou databází zákazníků, je pravděpodobně, že pověřence budete potřebovat. Autority pro ochranu dat by vám měly poradit, jaké požadavky by pověřenec měl splňovat.

DPO bude zodpovědný za dodržování nařízení GDPR ve vaší organizaci, měl by poradit, v jakých případech by mělo k ochraně dat dojít a zároveň bude hlavním kontaktem pro kontrolní orgány.

Organizace s více pobočkami

Organizacím, které působí v různých zemích EU, nařízení umožňuje, aby spolupracovaly pouze s jednou autoritou pro ochranu dat. Ačkoli pravidla pro výběr dané autority jsou v některých případech velmi komplexní. 

 

Únik dat

Nařízení GDPR definuje únik dat jako „narušení bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému vyzrazení nebo zpřístupnění osobních údajů“.

Jde o rozšíření předchozí definice a nebere v úvahu fakt, zda únik vede k poškození konkrétních osob. Pokud dojde k úniku dat. Musíte informovat autoritu pro ochranu dat co nejdříve, ne však později než 72 hodin po zjištění úniku.

Pokud jste však implementovali odpovídající technické a organizační mechanismy pro ochranu dat, například šifrování, nemusíte informovat jednotlivé osoby.

Ochrana dat jako základ

Nové nařízení přináší řadu povinností pro zpracovatele dat, který musí být schopen doložit fakt, že nařízení GDPR dodržuje. Může jít například o vhodné technické opatření (šifrování dat) nebo organizační opatření (interní bezpečnostní politiky).

Posouzení dopadu soukromí (PIA)

Posouzení dopadů na ochranu údajů, také známé jako posouzení dopadu na soukromí (PIA), má za cíl identifikovat a minimalizovat rizika při nedodržení směrnice.

Mezinárodní přenosy

Pokud vaše firma působí mezinárodně mimo EU, pak budou pravidla a procesy pro přenos dat mimo EU významným parametrem hodnocení. Sankce za nedodržení nebo přenos dat mimo země Evropské unie, které nemají adekvátní regulaci ochrany dat, budou daleko citelnější.

 Zaměstnanci

Už s předstihem byste měli zaměstnancům vysvětlit, jak se zavedení nařízení dotkne jejich práce. Zároveň byste měli začít s kontrolou stávajících procesů.

 

Je nutné, abyste byli kdykoli schopni prokázat na vyžádání, že ve vaší firmě existují jasná pravidla, která splňují nové nařízení.

 

Na potenciální únik dat musíte být připraveni. To zahrnuje zavedení jasných politik a procedur pro prevenci úniku dat i pro případ, kdy k úniku dojde.

Neohlášení úniku dat může mát za následek finanční pokutu, vedle pokuty za únik dat samotný.

  

Nařízení GDPR posiluje práva osob / zákazníků, které jste schopni jednoznačně identifikovat, ať už přímo nebo nepřímo.

Přístup k subjektu

Jedním z hlavních cílů nového nařízení je posílení práv zákazníků. Pokud dojde ze strany zákazníka k požadavku například na informaci, jak s jeho citlivými informacemi daná firma zachází, musí mu být vyhověno. Tento proces musí firma provést bezplatně a v lhůtě jednoho měsíce (nyní je to 40 dnů).

Právo být zapomenut

Jakmile bude nařízení v platnosti, pak má zákazník právo podat požadavek na smazání veškerých osobních informací, které daná firma má k dispozici.

Pokud firma poskytuje osobní informace třetí straně, musí zařídit vymazání dat i tam.

Přenositelnost dat

Nařízení GDPR přináší zcela novou definici přenositelnosti dat. Nově vyžaduje, aby byly informace poskytovány ve strukturované, běžně používané a strojově čitelné formě.

Tato povinnost se však týká pouze osobních dat zpracovaných automaticky.

Právo na nesouhlas (včetně přímého marketingu)

Zákazník má nově právo zabránit resp. vyslovit nesouhlas s tím, aby jeho osobní data byla zpracována pro účely přímého marketingu, včetně profilování.

Jakmile k zákazu doje, firma musí všechny osobní informace přesunout do odpovídající databáze.

Firmy mají zároveň o této možnosti povinnost informovat zákazníky samostatným způsobem např. speciálním e-mailem).  

 

Souhlas

Je velmi pravděpodobné, že firmy budou muset zkontrolovat celý proces, jakým získávají souhlas osob se zpracováním údajů. Proces musí být nově vyvážený, tzn. že souhlas musí být stejně jednoduché odvolat, jako udělit. A musí jít o jednoznačně pozitivní souhlas. Nejde tedy podmínit souhlas například předem zaškrtnutým polem (checkbox) nebo neaktivitou zákazníka.

Upozornění o zpracování

GDPR nařízení pravděpodobně zvýší počet aktivit, které firmy vyvíjejí směrem k zákazníkům ve smyslu podání informace o právním základu zpracování jejich osobních dat, informace, jak dlouho data uchovávají a také o možnosti stěžovat si odpovědné instituci, pokud si myslí, že se s jejich osobními informacemi zachází špatně. Definováni je i forma, kterou zákazník dostane výše popsané informace. Musí to být podáno stručně a ve srozumitelném jazyce.

  

Tato část GDPR nařízení je podobná současné právní úpravě. Firma musí zajistit, aby se s osobními daty zacházelo způsobem, který zajišťuje jejich bezpečnost, včetně ochrany před neautorizovaným nebo nezákonným procesem, pro případ ztráty, zničení a poškození.

Nařízení doporučuje bezpečnostní opatření, které mohou firmy implementovat. Jde o pseudonymizaci a šifrování osobních dat.

 

Existence osobních dat a jejich klasifikace

Firmy by měly dokumentovat, jaká data uchovávají, odkud pochází a s kým je sdílí.

Pokud firmy pracují s nepřesnými daty a poskytují je dalším organizacím, nařízení GDPR vyžaduje, aby firma zjištěné nepřesnosti předala i dané organizaci. Takový proces může vyžadovat informační audit napříč firmou nebo v jejích konkrétních částech.

Právní základ pro zpracování osobních dat

Jakmile nařízení vstoupí v platnost, firmy by měly prozkoumat, jak zpracovávají osobní data, na jakém právním základě a dané procesy zdokumentovat.

Toto je nezbytné, jelikož se práva zákazníků s GDPR mění. Příkladem může být právo na vymazání osobních data, i když souhlasili s jejich zpracováním.

 

Záznamy nebyly nalezeny...