Implementace evropské směrnice GDPR
implementace obecného nařízení o ochraně osobních údajů

Nové předpisy evropské unie ochranu osobních údajů - GDPR - Obecné nařízení o ochraně osobních údajů - dávají velkému množství podnikatelských subjektů nové povinnosti, které se týkají prakticky skoro každé společnosti a firmy, které přichází do kontaktu s osobními údaji. Nová legislativa se dotýká především zavedení procesů v každé firmě tak, aby byla zajištěna dostatečná ochrana osobních údajů, které firma shromažďuje a se kterými dále pracuje.
Je důležité si v této věci uvědomit, že osobními údaji jsou všechny údaje, které nějakým způsobem identifikují přesněji nějakou fyzickou osobu. Pokud tedy zpracováváte jakýmikoliv způsobem osobní údaje, např. ve formě jméno + telefonní číslo + email (např. pro objednávky, přípravy smluv, účetnictví, vedení lékařské dokumentace), a tyto údej případně dále zpracováváte a nebo s nimi dále pracujete ať už interně nebo je předáváte externím subjektům (a např. je předáváte třetím osobám - což jsou právě např. externí účetní, dopravní firmy, apd.), měli byste se o implementaci povinností vyplývající z GDPR určitě velmi aktivně zajímat. My jsme Vám s takovou implementací GDPR schopni pomoci. Kontaktujte nás !!!

Proč by se měla i Vaše firma o toto nařízení a jeho implementaci zajímat ?

Měli byste se o to zajímat především proto, že prakticky v každé firmě dochází k nakládání s osobními údaji a to buď zákazníků, zaměstnanců nebo dalších osob ( např. zájemců o nové pracovní místo ve formě životopisu ). Toto nové nařízení zavádí také zásadní pokuty za nedodržování standardů o ochraně osobních údajů - a pokuta může dosáhnout až 20 mil. EUR a nebo 4% ročního obratu - podle toho, co je částa vyšší. Zavádí také povinnost informovat úřad na ochranu osobních údajů do 72 hodin o tom, že jste pozbyli kontrolu nad osobními údaji, které zpracováváte a také jste povinni o tomto informovat osoby, jichž se taková situace týká.
Důležitou povinností je také získat prokazatelným způsobem informovaný a svobodný souhlas osob, jejíchž osobní údaje zpracováváte s takovým zpracováním. Tato povinnost se týká téměř všech firem.

Co pro Vás můžeme v rámci implementace GDPR udělat ?

V první řadě je potřeba analyzovat procesy ve Vaší firmě a zjistit, kdo a jaké osobní údaje získává a jak s nimi nakládáte. Na základě této analýzy Vám pomůžeme zpracovat dokumentaci, kterou budete potřebovat při provozu Vaší firmy, pomůžeme Vám proškolit zaměstnance tak, aby každý věděl, jak může s osobními údaji Vašich zákazníků nakládat a případně Vám pomůžeme implementovat ve spolupráci s Vašimi IT specialisty vhodné technické řešení k zabezpečení osobních údajů.

V druhé řadě Vám pomůžeme v rámci dlouhodobé spolupráce sledovat procesy ve Vaší firmě, abyste neporušovali pravidla GDPR a pomůžeme Vám pravidelně realizovat audit Vašich procesů při nakládání s osobními údaji ve Vaší firmě.

V neposlední řadě jsme Vám schopni pomoci v případě kontroly z Úřadu na ochranu osobních údajů, abyste takovou kontrolou propluli pokud možno bez jakýchkoliv problémů a sankcí.

Pokud jste ještě nezačali s implementací GDPR, je nevyšší čas se začít připravovat. A pokud chcete v této věci využít naši pomoc, neváhejte nás kontaktovat emailem: gdpr@spolecnosti.com nebo na tel.: 603 235 810.

DPO Asistent - Data protect officer

V rámci této služby Vám nabízíme dlouhodobou spolupráci v případě, že potřebujete ve své firmě ustanovit osobu zodpovědnou za koordinaci a provádění nařízení GDPR - tedy Pověřence pro správu odobních údajů ( neboli DPO ). V rámci této služby Vám nabízíme, že pro Vás budeme poskytovat asistenční službu pro Vašeho DPO ve formě konzultací a poradenství a nebo pro Vás budeme službu této osoby smluvně vykonávat a poskytovat jak podporu Vaším pracovníkům, tak i Vaším zákazníkům v případě, že to bude potřeba.
V případě kontroly některým z dohledových úřadů Vám také poskytneme potřebnou pomoc tak, abyste kontrolou úřadu prošli pokud možno bez problémů a sankcí.

Pokud potřebujete pomoc s ustanovením Vašeho DPO a pokud chcete v této věci využít naši pomoc, neváhejte nás kontaktovat emailem: gdpr@spolecnosti.com nebo na tel.: 603 235 810.

Co je vlastně GDPR a jak se projeví v každodenní praxi ?

Smyslem nového nařízení je chránit subjekt údajů, tedy toho, kdo poskytuje svá osobní data jakékoliv třetí straně. Jedná se prakticky o kodifikaci pohledu na osobní údaje - osobní údaje jsou zkrátka toho, koho identifikují. To staví na vedlejší kolej častý současný pohled na sbírané osobní údaje jako na "majetek" toho, kdo je sesbíral.

Nařízení GDPR zajišťuje, aby poskytnutí citlivých údajů bylo odvolatelné. Tedy pokud řeknete, sdělíte, poskytnete někomu své telefonní číslo, měl byste mít právo a možnost své rozhodnutí změnit, souhlas odvolat a dotyčný subjekt jej nemohl dále využívat. GDPR se zaměřuje také na ochranu dětí a nezletilých. Počítá ale i s jednáním dospělých, kteří poskytnou své osobní údaje, a nemyslí v tu chvíli na rizika spojená s jejich poskytnutím.

Jaké jsou tedy hlavní body, které z nařízení GDPR pro nás pro všechny vyplývají ?

Získávání dat

S uživateli komunikujte jednoduše a srozumitelně. Pokud od nich chcete jejich osobní údaje, sdělte jim předem, kdo jste, proč údaje sbíráte a zpracováváte, jak dlouho je budete zpracovávat a kdo je od Vás dále získá ( zdravotní pojišťovna, Vaše účetní, daňový poradce apd. ). V praxi to znamená, že na svém webovém či jiném firemním formuláři nebo souhlasu budete mít jednoznačnou identifikaci vaší společnosti a informaci, proč údaje potřebujete a jak dlouho je budete ukládat a také s kým je budete dále sdílet.
Pokud na to máte připravené systémy, můžete osobám, které vám údaje poskytují, také navrhnout budoucí možnost jejich kontroly, editace nebo smazání. Od chvíle, kdy vejde nařízení GDPR v platnost, by lidé měli mít ke svým údajům přístup, a navíc s možností poskytnout údaje i jinému zpracovateli – společnosti ( jinému lékaři, jiné firmě, apd. ). Jakmile jste osobní údaje získali, musíte lidem umožnit je také vymazat – tzv. zapomenout.
Výjimkou jsou pouze ty osobní údaje, které nenaruší svobodu či možnosti přezkoumání, tzn. že některá data pro pojišťovny, finanční úřad či jiných zákonných důvodů musíte uchovávat. ( např. na základě daňových zákonů, zákona o archivnictví apd. ).

Souhlas se zpracováním osobních údajů

Se zpracováním osobních údajů budete muset získat jednoznačný souhlas osoby, jejíž osobní údaje míníte zpracovávat. Pokud navíc sbíráte informace ze sociálních sítí nebo zpracováváte osobní údaje dětí a nezletilých, ověřte si jejich věkovou hranici. V některých případech bude potřeba rovněž souhlasu jejich rodičů.
Musíte si tedy dávat pozor, zda souhlasy se zpracováním osobních údajů máte od všech osob, jejichž osobní údaje míníte zpracovávat. A pokud máte souhlasy poskytnuté podle staré legislativy na ochranu osobních údajů ( zákona 101/2000 Sb. ), tak budete muset od všech takových osob získat souhlasy nové !!!! A to může zabrat mnoho času a může to být administrativně velmi náročné.

Bezpečnost osobních údajů

Za citlivá jsou v nařízení EU informace a údaje o zdraví, rase, sexuální orientaci, politickém smýšlení a náboženském přesvědčení, které vyžadují vysokou míru ochrany. Pokud zpracováváte informace pro někoho jiného (např. call centra nebo poskytovatele datových služeb), měli byste mít uzavřenu dobrou smlouvu, kde budou uvedeny povinnosti každé ze stran. Budete-li přenášet osobní údaje Vašich zákazníků mimo EU, postupujte tak vždy podle příslušných platných právních předpisů. Toto se může týkat cloudových řešení, které poskytují nadnárodní společnosti. Je důležité, aby data a osobní údaje zůstávala pokud možno v rámci EU.
Zvláštní míry ochrany také požívají osobní údaje dětí a nezletilých.

Systematičnost

Pokud aktuálně kupujete, vyvíjíte či v brzké době plánujete nákup nových firemních informačních systémů nebo software, myslete na implementaci GDPR již nyní. Usnadníte si tím Vaši činnost. Pokud již systémy máte, je nutné zamyslet se nad nakládání s osobními údaji ve vaší společnosti a co nejdříve uvažovat o implementaci GDPR. Nejde jen o to, předmětná nařízení splnit. Ale jedná se o nový způsob myšlení při jejich pořizování a zpracovávání a o celkou změnu přístupu uvnitř každé firmy, která s osobními údaji pracuje. A jejich udržování v rámci činnosti firmy.

Upozornění na únik osobních údajů

Nově je zaveden princip povinného informování osob, jejich údaje zpracováváte a které byly nebo mohly být nějakým způsobem odcizeny, napadeny či jinak zneužity - např. odcházejícím zaměstnancem ( typicky např. obchodní zástupce, který si s sebou odnese databázi zákazníků apd. ). Pokud vám data uživatelů byla odcizena nebo se vám podařilo je ztratit a hrozí-li riziko jejich vyzrazení, je vaší povinností osoby, kterých se to týká prokazatelným způsobem informovat a to do 72 hodin od zjištění takové situace a pak je zde také povinnost informovat o takové situaci příslušný úřad na ochrannu osobních údajů.
Toto může být jednak velmi nákladné, jednak nepříjemné ( např. ztráta důvěry zákazníků nebo partnerů ) a také se musíte prakticky sámi nahlásit příslušnému dohledovému úřadu. A to je pak nejkratší cesta ke kontrole a případné pokutě.

Co vše jsou osobní údaje ?

Osobními údaji jsou především tyto údaje: jméno, pohlaví, věk, datum narození, osobní stav, občanství, IP adresu, fotografický údaj, telefonní číslo, pracovní nebo osobní adresu, e-mail, ověřovací identifikační údaje, informace o rase, etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, o členství v odborech, o zdravotním stavu, sexuální orientaci, trestní delikty či pravomocná odsouzení, genetické a biometrické údaje, osobní údaje dětí, apd.

A pokud chcete v této věci využít naši pomoc, neváhejte nás kontaktovat emailem: gdpr@spolecnosti.com nebo na tel.: 603 235 810.