General Data Protection Regulation
nařízení Evropské unie o ochraně osobních údajů vztahující se na každou firmu v EU a na státní organizace
Jak úspěšně zvládnout GDPR?
AUDIT
Jaká data eviduji a zpracovávám?
Potřebuji skutečně všechna?
Co jsou osobní údaje?
Mohu je legálně zpracovávat?
Kde jsou uložena a kdo má přístup?
Jaké hrozí riziko v případě úniku?
ANALÝZA
Jak data zpracovávám?
Podléhají tyto operace nařízení GDPR?
Mám veškeré potřebné souhlasy?
Jak jsou data zabezpečena?
Musím hlásit bezpečnostní incidenty?
Jaká jsou rizika a sankce?
ŘÍZENÍ
Analýza současného stavu
Plán implementace opatření
Směrnice ochrany osobních údajů
Školení pro správce a zpracovatele
Monitoring a kontrola
Datum 25. 5. 2018 je přelomový den z důvodu nabytí účinnosti zmíněného nařízení. Od tohoto data musíte mít vypracované příslušné dokumenty, pokud spolupracujete s externí účetní, IT společností nebo s poskytovatelem pracovnělékařských služeb.
Nezapomeňte ani na úpravu smluv se svými klienty či na úpravu obchodních podmínek na svém e-shopu. V neposlední řadě nepodceňte své povinnosti vůči zaměstnancům v oblasti ochrany osobních údajů. Máte kamery v budově, monitorujete PC nebo máte GPS ve vozidlech? I Vás povinnosti neminou.
Za nesplnění podmínek GDPR hrozí pokuty až €20 milionů (540 mil. Kč) nebo 4 % z celkového obratu firmy (podle toho, která hodnota je vyšší).
Osobní údaje můžeme rozdělit to tří kategorií.
- Jméno
- Pohlaví
- Věk
- Datum narození
- Rodné číslo
- Adresa
- Osobní stav
- Podobizna
Organizačními údaji jsou:
- IP
- Lokalizační údaje
- Telefon
- Identifikátory státu
Mezi citlivé údaje patří:
- Rasa
- Sexuální orientace
- Náboženství
- Zdravotní stav
- Tresty
- Genetické údaje
- Biometrické údaje
1.
Zákonnost, korektnost, transparentnost
Každé zpracování osobních údajů musí mít právní základ, právní důvod (zákonnost) a subjekt údajů musí být o zpracování transparentně informován
2.
Omezením účelem
Osobní údaje jsou zpracovávány jen pro daný konkrétní legitimní účel. Osobní údaje legitimně získané a zpracované nesmí být použité pro jiný účel
3.
Minimalizace údajů
Zpracovávání osobních údajů musí být omezeno jen pro relevantní, přiměřený a nezbytný rozsah
4.
Přesnost
Zpracovávané osobní údaje musí být v co největší míře přesné a v případě potřeby aktualizované
5.
Omezení uložení
Osobní údaje nesmí být uloženy ve formě umožňující identifikaci subjektu údajů po delší dobu, než je nezbytné pro účely, pro které jsou zpracovávány
6.
Integrita a důvěrnost
Osobní údaje musí být při zpracovávání pomocí vhodných technických nebo organizačních opatření zabezpečeny před neoprávněným nebo protiprávním zpracováním a před ztrátou
7.
Zodpovědný přístup a prokázání souladu
Správce je odpovědný za zajištění souladu s předcházejícími principy ochrany osobních údajů a za schopnost tuto shodu prokázat
OSOBNÍ ÚDAJE LZE ZPRACOVÁVAT V NÁSLEDUJÍCÍCH PŘÍPADECH:
- byl-li ke zpracování udělen souhlas
- zpracování osobních údajů je nezbytné pro plnění nebo uzavření smlouvy
- je nezbytné pro plnění právní povinnosti
- je nezbytné pro ochranu životně důležitých zájmů fyzické osoby
- zpracování pro plnění úkolu veřejného zájmu
- zpracování při výkonu veřejné moci
Např. zatímco dnes mohou e-shopy sbírat různá data o uživatelích, kteří navštíví webovou stránku daného internetového obchodu, po 25. květnu 2018 to nebude možné bez vědomého souhlasu uživatele. Pokud bude chtít e-shop předat nasbíraná data o uživateli třetí straně, bude muset získat souhlas uživatele. E-shop zároveň nemůže vyžadovat tento souhlas jako podmínku k dalšímu setrvání na webu. E-shopy tak musí upravit své softwary tak, aby odpovídaly nové a přísnější legislativě.
POSTUP ZABEZPEČENÍ DAT V SOULADU S GDPR?
Odhalte, jak se uvnitř vaší firmy nakládá s citlivými informacemi
- Nastavte jasná pravidla pro to, kdo může s citlivými informacemi pracovat
- Každý zaměstnanec by měl vědět, jaké informace vyžadují speciální přístup a jak by s nimi měl zacházet
- Všechna média, která obsahují citlivé údaje by měla být šifrovaná, jak doporučuje přímo GDPR
- Ochrana dat musí být komplexní a zajistit všechny způsoby komunikace – e-mail, internet, tisk, USB disk, mobil,…
- Životopisy, pracovně-právní agenda nebo smlouvy – všechny tyto dokumenty musí být bezpečně uloženy a uzamčeny, pokud se s nimi aktuálně nepracuje
- GDPR vyžaduje možnost obnovit data při výpadku techniky
- Kromě antivirového řešení pamatujte i na aktualizaci systémů, nastavení síťových prvků, firewallů a případně dalších technologií pro ochranu sítě
POVINNOSTI SPRÁVCE
- Provést výmaz plynoucí z práva být zapomenut
- Vést záznamy o zpracování
- Posoudit vliv na ochranu osobních údajů
- Určit pověřence pro ochranu osobních údajů
- Ohlásit únik dat bezodkladně do 72 hodin od zjištění Úřadu pro ochranu osobních údajů
Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
TYTO ZÁZNAMY O ČINNOSTECH MUSÍ OBSAHOVAT NÁSLEDUJÍCÍ INFORMACE:
- jméno a kontaktní údaje správce a zpracovatele včetně jména DPO – pověřence pro ochranu osobních údajů (Data Protection Officer). Jeho úkolem je monitorovat zpracování údajů, provádění auditů, školení pracovníků.
- účely zpracování
- popis kategorií subjektů údajů a kategorií osobních údajů
- kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
- informace o mezinárodním předávání osobních údajů
- lhůty pro výmaz jednotlivých kategorií údajů
- popis technických a organizačních opatření. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
Výjimky z povinnosti vést záznamy o činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.
PRŮBĚH AUDITU GDPR
Úvodní schůzka
- Představení členů realizačního teamu a jejich funkce
- Seznámení s průběhem identifikace klíčových rozdílů mezi nastavením organizace nyní a stavem požadovaným nařízením GDPR
- Určení kontaktní osoby v rámci organizace
- Vstupní dotazník a seznámení s pokyny k jeho vyplnění
- Cenová nabídka implementace GDPR
Schůzka se zástupci jednotlivých oddělení organizace, které zpracovává osobní údaje.
Časová náročnost je přibližně 45 – 60 minut na jedno oddělení.
GAP analýza
Souhrnná zpráva o GAP analýze obsahuje popis současného stavu v organizaci a identifikuje oblasti, kde je zapotřebí nastavit procesní změnu k dosažení souladu s nařízením GDPR.
Cílem je zjistit
- Struktura shromažďování dat
- Sběrné uzly osobních dat
- Jak jsou data uchovávána a chráněna
- Analýza postupů pro nakládání s papírovými dokumenty obsahujícími osobní údaje
- Zjištění obsahu formulářů
- Identifikace systémů, kde se s daty pracuje
- Určení procesů, kde data figurují a jak jsou zpracovávány
- Vazby a smlouvy třetích stran
- Proces řízení incidentů
- Návrhy a doporučení v případě nesouladu s nařízením
Prezentace GAP analýzy
Vyhodnocení a prezentace zjištěných nálezů a návrh doporučení v organizaci.
Implementace řešení
Na základě požadavku organizace komplexní implementace GDPR, nastavení směrnic a zavedení organizačních pravidel.
Vyhodnocení a prezentace zjištěných nálezů a návrh doporučení v organizaci.
- Právní: úprava souhlasů a smluv, vnitřní směrnice apod.
- Technická: určení systému zabezpečení, efektivní evidence zpracování dat
- Organizační: určení odpovědných osob a procedur
