General Data Protection Regulation

nařízení Evropské unie o ochraně osobních údajů vztahující se na každou firmu v EU a na státní organizace

Jak úspěšně zvládnout GDPR?

AUDIT

Jaká data eviduji a zpracovávám?

Potřebuji skutečně všechna?

Co jsou osobní údaje?

Mohu je legálně zpracovávat?

Kde jsou uložena a kdo má přístup?

Jaké hrozí riziko v případě úniku?

ANALÝZA

Jak data zpracovávám?

Podléhají tyto operace nařízení GDPR?

Mám veškeré potřebné souhlasy?

Jak jsou data zabezpečena?

Musím hlásit bezpečnostní incidenty?

Jaká jsou rizika a sankce?

ŘÍZENÍ

Analýza současného stavu

Plán implementace opatření

Směrnice ochrany osobních údajů

Školení pro správce a zpracovatele

Monitoring a kontrola

Datum 25. 5. 2018 je přelomový den z důvodu nabytí účinnosti zmíněného nařízení. Od tohoto data musíte mít vypracované příslušné dokumenty, pokud spolupracujete s externí účetní, IT společností nebo s poskytovatelem pracovnělékařských služeb.

Nezapomeňte ani na úpravu smluv se svými klienty či na úpravu obchodních podmínek na svém e-shopu. V neposlední řadě nepodceňte své povinnosti vůči zaměstnancům v oblasti ochrany osobních údajů. Máte kamery v budově, monitorujete PC nebo máte GPS ve vozidlech? I Vás povinnosti neminou.

Za nesplnění podmínek GDPR hrozí pokuty až €20 milionů (540 mil. Kč) nebo 4 % z celkového obratu firmy (podle toho, která hodnota je vyšší).

Osobní údaje můžeme rozdělit to tří kategorií.

  • Jméno
  • Pohlaví
  • Věk
  • Datum narození
  • Rodné číslo
  • Adresa
  • Osobní stav
  • Podobizna

Organizačními údaji jsou:

  • IP
  • Lokalizační údaje
  • E-mail
  • Telefon
  • Identifikátory státu

Mezi citlivé údaje patří:

  • Rasa
  • Sexuální orientace
  • Náboženství
  • Zdravotní stav
  • Tresty
  • Genetické údaje
  • Biometrické údaje

1.

Zákonnost, korektnost, transparentnost

Každé zpracování osobních údajů musí mít právní základ, právní důvod (zákonnost) a subjekt údajů musí být o zpracování transparentně informován

2.

Omezením účelem

Osobní údaje jsou zpracovávány jen pro daný konkrétní legitimní účel. Osobní údaje legitimně získané a zpracované nesmí být použité pro jiný účel

3.

Minimalizace údajů

Zpracovávání osobních údajů musí být omezeno jen pro relevantní, přiměřený a nezbytný rozsah

4.

Přesnost

Zpracovávané osobní údaje musí být v co největší míře přesné a v případě potřeby aktualizované

5.

Omezení uložení

Osobní údaje nesmí být uloženy ve formě umožňující identifikaci subjektu údajů po delší dobu, než je nezbytné pro účely, pro které jsou zpracovávány

6.

Integrita a důvěrnost

Osobní údaje musí být při zpracovávání pomocí vhodných technických nebo organizačních opatření zabezpečeny před neoprávněným nebo protiprávním zpracováním a před ztrátou

7.

Zodpovědný přístup a prokázání souladu

Správce je odpovědný za zajištění souladu s předcházejícími principy ochrany osobních údajů a za schopnost tuto shodu prokázat

OSOBNÍ ÚDAJE LZE ZPRACOVÁVAT V NÁSLEDUJÍCÍCH PŘÍPADECH:

  • byl-li ke zpracování udělen souhlas
  • zpracování osobních údajů je nezbytné pro plnění nebo uzavření smlouvy
  • je nezbytné pro plnění právní povinnosti
  • je nezbytné pro ochranu životně důležitých zájmů fyzické osoby
  • zpracování pro plnění úkolu veřejného zájmu
  • zpracování při výkonu veřejné moci

Např. zatímco dnes mohou e-shopy sbírat různá data o uživatelích, kteří navštíví webovou stránku daného internetového obchodu, po 25. květnu 2018 to nebude možné bez vědomého souhlasu uživatele. Pokud bude chtít e-shop předat nasbíraná data o uživateli třetí straně, bude muset získat souhlas uživatele. E-shop zároveň nemůže vyžadovat tento souhlas jako podmínku k dalšímu setrvání na webu. E-shopy tak musí upravit své softwary tak, aby odpovídaly nové a přísnější legislativě.

POSTUP ZABEZPEČENÍ DAT V SOULADU S GDPR?

Odhalte, jak se uvnitř vaší firmy nakládá s citlivými informacemi

  • Nastavte jasná pravidla pro to, kdo může s citlivými informacemi pracovat
  • Každý zaměstnanec by měl vědět, jaké informace vyžadují speciální přístup a jak by s nimi měl zacházet
  • Všechna média, která obsahují citlivé údaje by měla být šifrovaná, jak doporučuje přímo GDPR
  • Ochrana dat musí být komplexní a zajistit všechny způsoby komunikace – e-mail, internet, tisk, USB disk, mobil,…
  • Životopisy, pracovně-právní agenda nebo smlouvy – všechny tyto dokumenty musí být bezpečně uloženy a uzamčeny, pokud se s nimi aktuálně nepracuje
  • GDPR vyžaduje možnost obnovit data při výpadku techniky
  • Kromě antivirového řešení pamatujte i na aktualizaci systémů, nastavení síťových prvků, firewallů a případně dalších technologií pro ochranu sítě

POVINNOSTI SPRÁVCE

  • Provést výmaz plynoucí z práva být zapomenut
  • Vést záznamy o zpracování
  • Posoudit vliv na ochranu osobních údajů
  • Určit pověřence pro ochranu osobních údajů
  • Ohlásit únik dat bezodkladně do 72 hodin od zjištění Úřadu pro ochranu osobních údajů

Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

TYTO ZÁZNAMY O ČINNOSTECH MUSÍ OBSAHOVAT NÁSLEDUJÍCÍ INFORMACE:

  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO – pověřence pro ochranu osobních údajů (Data Protection Officer). Jeho úkolem je monitorovat zpracování údajů, provádění auditů, školení pracovníků.
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.

PRŮBĚH AUDITU GDPR

Úvodní schůzka

  • Představení členů realizačního teamu a jejich funkce
  • Seznámení s průběhem identifikace klíčových rozdílů mezi nastavením organizace nyní a stavem požadovaným nařízením GDPR
  • Určení kontaktní osoby v rámci organizace
  • Vstupní dotazník a seznámení s pokyny k jeho vyplnění
  • Cenová nabídka implementace GDPR
Osobní schůzka se zástupci jednotlivých oddělení

Schůzka se zástupci jednotlivých oddělení organizace, které zpracovává osobní údaje.

Časová náročnost je přibližně 45 – 60 minut na jedno oddělení.

GAP analýza

Souhrnná zpráva o GAP analýze obsahuje popis současného stavu v organizaci a identifikuje oblasti, kde je zapotřebí nastavit procesní změnu k dosažení souladu s nařízením GDPR.

Cílem je zjistit

  • Struktura shromažďování dat
  • Sběrné uzly osobních dat
  • Jak jsou data uchovávána a chráněna
  • Analýza postupů pro nakládání s papírovými dokumenty obsahujícími osobní údaje
  • Zjištění obsahu formulářů
  • Identifikace systémů, kde se s daty pracuje
  • Určení procesů, kde data figurují a jak jsou zpracovávány
  • Vazby a smlouvy třetích stran
  • Proces řízení incidentů
  • Návrhy a doporučení v případě nesouladu s nařízením

Prezentace GAP analýzy

Vyhodnocení a prezentace zjištěných nálezů a návrh doporučení v organizaci.

Implementace řešení

Na základě požadavku organizace komplexní implementace GDPR, nastavení směrnic a zavedení organizačních pravidel.

Vyhodnocení a prezentace zjištěných nálezů a návrh doporučení v organizaci.

  • Právní: úprava souhlasů a smluv, vnitřní směrnice apod.
  • Technická: určení systému zabezpečení, efektivní evidence zpracování dat
  • Organizační: určení odpovědných osob a procedur

POTŘEBUJETE ŘEŠIT GDPR?

Potřebujete řešit GDPR?

Klouda Dušan

klouda@k-system.cz

Napište mi, ozvu se Vám obratem