GDPR Novinky v ochraně osobních údajů

I.

Co je GDPR?

GDPR (General Data Protection Regulation) je nařízení Evropské unie,
které vstoupilo v účinnost 25. 5. 2018. Jeho cílem je zvýšit úroveň ochrany
osobních údajů a posílit práva občanů Evropské unie v této oblasti.

  • 2012 Evropská komise
    představila návrh
    reformy na ochranu
    osobních údajů
  • 2015 Jednání o přijetí reformy
    na ochranu dat na půdě
    Evropského parlamentu,
    Evropské rady a Evropské komise
  • 2016 Bylo přijato GDPR,
    nařízení o ochraně
    osobních údajů
  • 25. 5. 2018 GDPR
    nabylo účinnosti
II.

Co nového GDPR přináší?

Nařízení GDPR představuje nejkomplexnější úpravu a regulaci práce s osobními údaji. Zavádí řadu nových pojmů a kategorií. Vedle tradičních údajů, které jsou obecně chápány jako osobní, sem patří i údaje technického rázu (IP adresa nebo cookies), a jako kategorie údajů hodné zvláštního zřetele definuje osobní údaje vypovídající o původu, politických názorech, náboženském či filozofickém vyznání, zdravotním stavu apod., genetické a biometrické údaje, osobní údaje dětí apod.

GDPR obecně reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů (včetně povinnosti hlásit jakékoliv incidenty v oblasti práce s osobními daty a jejich ochrany), definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv – včetně práva „být zapomenut“. Zavádí také roli pověřence pro ochranu osobních údajů (DPO, Data Protection Officer).

III.

Koho se GDPR týká?

GDPR platí celosvětově pro všechny subjekty, které zpracovávají osobní údaje občanů EU, a zavádí
celou řadu nových práv a povinností. Zpracovatelé a správci osobních údajů musí zavést nové procesy
a technologie, které budou v souladu s GDPR. Toto nařízení se dotkne všech oblastí podnikání: bankovnictví,
pojišťovnictví retailového trhu a internetových obchodů, výroby a služeb, zdravotnictví nebo veřejné správy.
Tedy všech subjektů a oblastí činnosti, při kterých dochází ke zpracování osobních údajů.

IV.

Jaké jsou sankce?

Sankce za nedodržení tohoto nařízení mohou být
dle charakteru a závažnosti incidentu až 4 % z celkového obratu společnosti
nebo až 20 milionů EUR. Neberte tedy GDPR na lehkou váhu.

V.

Kde začít?

Vyhovět všem náročným podmínkám nařízení GDPR si žádá řadu opatření organizačního, procesního
i technického charakteru. Součástí tohoto úsilí je úprava či vytvoření řady vnitřních organizačních
předpisů. Vzhledem k tomu, že jde o práci s informacemi, významnou roli při splnění požadavků GDPR hraje
i účelné využití informačních technologií a systémů. Žádný technologický prvek ani software shodu
s požadavky GDPR nezajistí, ale bez něj je dosažení shody s těmito požadavky nemyslitelné.

Zpracování osobních údajů

Každá organizace spravuje údaje o svých zaměstnancích, které jsou ze své povahy osobní a citlivé (nejen s ohledem na GDPR). Pro tuto oblast nabízíme komplexní a sofistikovaný systém OKbase pro zpracování personální a mzdové agendy.

OKbase využívá technologie nezbytné pro řízení přístupu k osobním údajům pro autorizované uživatele (personalisty a mzdové účetní), kteří zpracovávají údaje na základě zákonem stanovených povinností a práv, ale i pro vlastní subjekty údajů, kteří mají možnost kontrolovat rozsah a správnost svých údajů. Přístup k údajům lze řídit na základě rolí i organizačního uspořádání společnosti, v závislosti na typu klienta a způsobu jeho síťového připojení k systému. Díky spojení s platformou BabelApp lze chráněné údaje (např. výplatní lístky) zasílat šifrovaně přímo na mobilní zařízení nebo PC zaměstnanců.

www.okbase.cz

Bezpečná komunikace

Potřebujete sdílet citlivé informace se svými obchodními partnery a klienty důvěryhodným způsobem, který zajistí ochranu sdělovaných informací, zpráv a dokumentů jak při samotném přenosu, tak i při jejich uložení na zařízeních odesílatele i příjemce? Využijte BabelApp pro bezpečnou firemní komunikaci.

BabelApp je systém navržený primárně pro bezpečnost komunikace a dat uložených na uživatelských zařízeních s použitím silné kryptografie. BabelApp neshromažďuje osobní údaje na serverech jako jiné komunikační systémy, ale vždy je bezpečně doručuje a bezpečně ukládá na zařízeních uživatelů. BabelApp splňuje požadavky GDPR nejen sám o sobě, ale umožňuje je splnit i dalším informačním systémům, které jej využívají pro bezpečnou komunikaci. BabelApp je platforma a technologie pro GDPR.

www.babelapp.com

Archivace dokumentů

Veškeré informace o klientech, partnerech, obchodních případech a smluvních vztazích obíhají v organizaci ve formě dokumentů. Digitalizujte své agendy a pro správu dokumentů, jejich uchovávání, sdílení a řízení přístupu k nim používejte profesionální systém OKdox.

OKdox, systém pro správu dokumentů (DMS/ECM), je z hlediska práv primárně navržen jako restriktivní systém. Uživatel může tedy pracovat jen s těmi informacemi, které jsou součástí jeho přístupových práv. OKdox má plně zajištěnou integritu vkládaných informací, tj. zachování historie práce s informacemi, a díky silné kryptografii zabezpečí informace jak proti změnám v čase, tak proti jejich zneužití. Pokud navíc propojíte OKdox s platformou BabelApp, můžete bezpečně předávat informace uložené v systému až na koncové zařízení uživatele.

www.okdox.cz


VI.

Aktuálně o GDPR

OKsystem spouští jedinečnou kampaň u příležitosti 30. výročí založení

7. 5. 2020

Naše společnost letos slaví 30 let na trhu. K příležitosti výročí jsme spustili nový web

více

GDPR 2020: Novinky ze světa

10. 1. 2020

ČR Úřad pro ochranu osobních údajů s ohledem na svou dosavadní dozorovou praxi zveřejnil dne 8.1. 2020 "Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů"

více

Pokuta pro Google a YouTube za porušení GDPR

26. 9. 2019

Pokuta ve výši 170 mil. dolarů byla v září v USA uložena z rozhodnutí Federální komise pro obchod (FTC) společnostem Google a YouTube. Tyto společnosti že shromažďovaly o dětech ve věku do 13 let informace, které byly využívány k šíření cílené…

více

ÚOOÚ pokutoval za porušení povinností GDPR

29. 7. 2019

Evropské nařízení (General Data Protection Regulation) je účinné od května 2018 a jeho dopad na správce osobních údajů se projevuje, a někdy dosti citelně. Pokuty uložil už také český Úřad pro ochranu osobních údajů.

více

Splňují weby evropských institucí směrnici o zpracování osobních údajů?

8. 7. 2019

Evropský inspektor ochrany osobních údajů v kontextu svých avizovaných priorit (zaměření na digitální etiku a hlubší…

více

Vyjádření Ústavního soudu k data retention

5. 6. 2019

Úřad pro ochranu osobních údajů se vyjádřil k nálezu Ústavního soudu ve věci Data retention. Ústavní soud nezrušil napadenou právní úpravu, která dle názoru ÚOOÚ zvyšuje nároky na všechny účastníky procesu uchování provozních a lokalizačních…

více

GDPR: prezident podepsal návrh zákonů, Brexit a přenos osobních údajů

18. 4. 2019

Prezident republiky České republiky podepsal oba návrhy zákonů (Zákon o zpracování osobních údajů a Zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů), které se váží k GDPR. Předpokládá se, že oba…

více

Vyjádření Evropského sboru k používání osobních údajů v průběhu volebních kampaní

28. 3. 2019

Evropský sbor pro ochranu osobních údajů zveřejnil výklad a soubor pravidel, které musí politické strany a kandidáti dodržovat s ohledem na ochranu osobních údajů při volebních kampaních. Vedou k tomu poznatky o rozšiřování technik zpracování…

více

Novinky z GDPR: Zbytečné udělení souhlasu a další dokument předložen k veřejnému připomínkování

11. 12. 2018

Na konferenci GDPR plus 180 dní zaznělo opakovaně důrazné upozornění Úřadu pro ochranu osobních údajů pro správce a zpracovatele osobních údajů, kteří požadují v rozporu s GDPR po svých klientech udělení…

více

Evropský inspektor ochrany údajů Buttarelli o digitální etice

21. 11. 2018

Evropský inspektor ochrany osobních údajů Giovani Buttarelliho vystoupil na 40. mezinárodní konferenci o bezpečnosti, která se konala za účasti víc než 1000 odborníků z celého světa. Buttarelli se mimo jiné věnoval nebezpečí technologických…

více

GDPR: Předávání osobních údajů do třetích zemí

22. 10. 2018

K otázce předávání osobních údajů do třetích zemí je možné nalézt přehled bezpečných zemí na webových stránkách

více

EDPB: Nový seznam operací, které podléhají GDPR

9. 10. 2018

Evropský Sbor pro ochranu osobních údajů (European Data Protection Board) zveřejnil svou pozici k seznamům druhů operací,…

více

GDPR z praxe: Chybná interpretace vyžadování souhlasu se zpracováním osobních údajů

4. 9. 2018

Předsedkyně Úřadu pro ochranu osobních údajů důrazně upozornila na chybné a zavádějící vyžadování poskytování souhlasu se zpracováním osobních údajů. ÚOOÚ tak chce upozornit veřejnost, že vyžadování souhlasu může…

více

ÚOOÚ vypsal další termín konzultací pro pověřence

2. 8. 2018

Úřad pro ochranu osobních údajů vyhlásil třetí pokračování konzultací pro pověřence, které je plánováno na 22. srpna 2018 od 9.30 do 13.00 h. Konzultace je určena výhradně pro jmenované pověřence…

více

Evropský sbor pro ochranu osobních údajů zahájil svoji činnost

13. 6. 2018

V pátek 25.5. 2018 zahájil svoji činnosti Evropský sbor pro ochranu osobních údajů, nezávislý evropský subjekt, který přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii a prosazuje spolupráci mezi úřady…

více
VII.

Vaše dotazy

Můžete pomoci mé firmě se zavedením GDPR?
Společnost OKsystem se projektům dopadů GDPR věnuje primárně v personální a mzdové oblasti.
Celkové posouzení všech firemních agend je však možné zajistit několika cestami: Pomocí SW, který po vyplnění základního dotazníku vytvoří určité předpoklady pro možné závěry dopadů GDPR; pomocí vlastního proškoleného zaměstnance nebo ve spolupráci se společností, která se na dopady GDPR v procesu podnikání specializuje.
Jak na to (GDPR)?
Nejprve je nutné zmapovat zpracování, která provádíte a porovnat jejich průběh s GDPR. Výsledek analýzy by měl být signálem, co změnit a upravit (vnitřní procesy, komunikace se zákazníky, zabezpečení apod.). Dále je nezbytné se vypořádat se skupinou nových povinností (čl. 30 až 39).
Pokud bude tento proces probíhat, jeho realizace by měla být opakovaně prověřována.
Jakým způsobem je možné provést audit připravenosti?
Audit lze provést jak vlastními zaměstnanci, tak na základě smlouvy se specializovanou firmou. Společnost OKsystem audity z kapacitních důvodů neprovádí, ale pořádá odborné kurzy k této problematice v oblasti pracovněprávních vztahů, kde se podrobně seznámíte s nezbytnými kroky při realizaci auditu.
V naší společnosti máme zpracovanou směrnici na ochranu osobních údajů, která se již váže na zákon č. 101/2000 Sb. Je možné tuto směrnici pouze revidovat a rozšířit o GDPR?
Pro účely dopadů GDPR lze samozřejmě využít všechny interní materiály, které již Vaše společnost má. V zásadě tak můžete využít dosavadní postupy a rozsah očekávání, pokud jde o práva a povinnosti všech skupin fyzických osob, jejichž osobní údaje jsou předmětem vašeho zpracování.
Jak a kde je možno získat certifikát „Pověřence pro ochranu osobních údajů“?
GDPR ve svých podmínkách nestanoví, že by pověřenec musel disponovat obdobným dokumentem. V současné době však probíhá řada vzdělávacích aktivit a kurzů, které jsou pro přípravu pověřenců specializované. Zkuste si vybrat některý z nich a tím zvýšit odbornou připravenost na výkon této činnosti.
Můžete nám poradit s problematikou GDPR z pohledu provozování internetového obchodu?
OKsystem není poskytovatelem služeb v oblasti marketingu, ale zaměřuje se na problematiku dopadů GDPR v oblasti personální a mzdové.
Pokud jde o GDPR ve vazbě na činnost služeb informační společnosti podle zákona č. 480/2004 Sb., doporučujeme se zaměřit na činnost APEK.
Vztahuje se nařízení GDPR i na kontaktní údaje právnických osob?
Pro tento účel lze aplikovat recitál 14 GDPR, z něhož vyplývá následující:
Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.
Jsem drobným podnikatelem a zajímá mne, jestli se mě problematika GDPR také dotýká?
Problematika ochrany osobních údajů a GDPR obecně je velice složitá, proto bychom Vám doporučili využít některý z kurzů, které k zavádění GDPR OKsystem pořádá.
Bude se týkat problematika dopadů GDPR i společnosti, která se zabývá krátkodobým ubytováním klientů? Dostáváme informace o rezervacích a klientech prostřednictvím e-mailů. Jedná se hlavně o telefonní čísla a e-mailové adresy.
Z obsahu dotazu je patrné, že součástí Vaší činnosti (služby - krátkodobé ubytování) je i zpracování osobních údajů Vašich klientů. V této souvislosti je tak třeba vnímat přípravu na dopady GDPR jako nezbytnost. Asi nejdůležitější je zajistit a zprostředkovat informace, které GDPR povinným subjektům ukládá prostřednictvím čl. 12 až 22.
Bude GDPR potřebovat každá i fyzická podnikající osoba, která přijímá objednávky a pracuje např. s telefonními čísly klientů? Bude potřebovat GDPR i naše SVJ v bytovém domě?
V zásadě se dá říci, že ochrana osobních údajů se týká každého subjektu tedy fyzické i právnické osoby již dnes a GDPR na tom v zásadě nic nemění. Pro fyzické osoby existuje výjimka, kdy se jedná o tzv. zpracování pro osobní potřebu. Pro právnické osoby a tedy i fyzické podnikající se však tato výjimka neuplatní. Takže i SVJ se musí touto problematikou zabývat. Bližší informace o dopadech GDPR v oblasti bytového hospodářství řeší několik článků na portálu TZB – E stav.
Dotýká se nařízení GDPR i údajů vystavených na internetu na webu ISIR - lidé v insolvenci, včetně všech dokumentů, výsledků soudů atd.? Nebo budou tyto údaje skryté?
Pokud myslíte oficiální web Ministerstva spravedlnosti isir.justice.cz, lze předpokládat, že tento web zpřístupňuje jen takové skupiny informací, k němuž je orgán státu – tedy Ministerstvo spravedlnosti oprávněno na základě konkrétního právního předpisu. V tomto ohledu musí i současný provozovatel webu provést analýzu dopadů GDPR na všechna svá zpracování.
Bude mít nařízení GDPR dopad na používání monitorovacího systému (kamer) umístěných v družstevním domě ve společných prostorách domu. Shromažďují také informace, které mohou být „soukromé“. Například časy a způsoby odchodu/příchodu, příchozí či odchozí návštěvy a hodiny návštěv; co si nájemníci stěhují do/z bytu, jak jsou oblečení, s kým odchází/přichází apod. Možná toho bude i více, protože kamery mohou zabírat i detaily v nákupní tašce, noviny a časopisy v rukách a podobně.
GDPR nebo jinak obecné nařízení dopadá na každé zpracování osobních údajů, tedy i na zpracování, které popisujete. Není to však něco zcela nového, již dnes se musí provozování kamerového systému řídit platnými právními předpisy v oblasti ochrany osobních údajů, kterými jsou zákon č. 101/2000 Sb.
Jak mám naložit s fotografiemi žáků, které již jsou na webu školy a také jakým způsobem máme od 25. 5. 2018 na školních akcích fotit? Co třídní fotografie na konci školního roku? Jak naložit např. s fotografiemi, které jsou na nástěnkách školy?
GDPR v tomto směru právní pohled na problematiku nemění, jinými slovy tak platí, že už dnes byste měli mít jasný právní titul (důvod/oprávnění) pro zveřejňování těchto fotografií. Obecně však platí, že je rozdíl mezi zveřejněním fotografie portrétního typu a fotografie z nějaké aktivity dětí.
Předpokládáme, že jste o těchto Vašich aktivitách již nyní informovali rodiče dětí s tím, že pokud by někdo se zveřejňováním fotografií nesouhlasil, může svůj nesouhlas vyjádřit.
Pokud jde o fotografie na nástěnce školy, jde o méně invazivní způsob možného konfliktu se soukromím dítěte.
Doporučujeme Vám se v této souvislosti obrátit na Úřad pro ochranu osobních údajů a získat oficiální vyjádření.
!

Nenašli jste odpověď na Vaši otázku?
Obraťte se na nás. Rádi Vám poradíme.

Informace o zpracování osobních údajů.

+420 236 072 111

gdpr@oksystem.cz