Dnes je úterý 25. 09. 2018, svátek má Zlata. |


icon Facebook | Vyhledávání na stránkách

Nacházíte se: O nás » GDPR - ochrana osobních údajů

GDPR - ochrana osobních údajů

 

Na této stránce budeme zveřejňovat informace, které se týkají nařízení Evropského Parlamentu - Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

GDPR se dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji
– zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

GDPR začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli.

S GDPR dochází také k rozšíření definice osobních údajů. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu nebo tzv. cookie v zařízení uživatele a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem (IČ, DIČ).

Jaké povinnosti ukládá GDPR institucím a firmám

Nařízení nově zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. Ty se budou týkat zejména těchto oblastí:

* implementace

* záměrné a nezbytné ochrany dat vypracování posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment

*jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer) – nad 250 zaměstnanců, ale počítají se sem všechny DPP a DPČ

* zavedení tzv. pseudonymizace osobních údajů

* konzultace s dozorovým orgánem před samotným zpracováním osobních údajů

Dalším principem spadajícím do oblasti zodpovědnosti je povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování, za které zodpovídají. Každý správce a zpracovatel bude povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Tyto záznamy o činnostech musí obsahovat následující informace:

- jméno a kontaktní údaje
- správce a zpracovatele včetně jména DPO (Data Protection Officer) – pokud je jmenován

- účely zpracování

- popis kategorií subjektů údajů a kategorií osobních údajů

- kategorie příjemců, kterým byly nebo budou údaje zpřístupněny

- informace o mezinárodním předávání osobních údajů

- lhůty pro výmaz jednotlivých kategorií údajů

- popis technických a organizačních opatření

Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních
údajů a v umožnění přístupu občanů k jejich údajům.

Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

Co je vlastně osobní údaj?

Osobními údaji jsou veškeré informace, které samy o sobě nebo v kombinaci s jinými informacemi vedou nebo mohou vést k jednoznačné identifikaci fyzické osoby. Tedy jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Příkladem osobního údaje tedy může být:

jméno, adresa

poloha

elektronický identifikátor

zdravotní údaje

služební e-mail a telefon vedoucí k identifikaci osoby, apod

Koho se nařízení týká a jaké povinnosti GDPR zavádí?

Nařízení se týká všech subjektů, které pracují s osobními údaji jak svých zaměstnanců, tak klientů a zákazníků. Z toho vyplývá, že osobní údaje eviduje každá organizace a je povinna údaje zabezpečit a chránit. Na velikosti organizace nezáleží. GDPR definuje celý souhrn opatření, které organizace musí zavést, aby splnila dané nároky:

zabezpečení organizačními a technickými prostředky veškerá zpracovávání osobních údajů, například pomocí vhodného šifrování a softwarové pseudonymizace osobních údajů (nebo-li skrytí identity)

rozšíření smluv se všemi zpracovateli osobních údajů o nově vyjmenované povinné náležitosti, uvedené v nařízení přijmout uvnitř organizací kontrolní mechanismy, ať již manuální nebo automatizované, zajišťující zákonné zpracovávání osobních údajů

přijmout vnitropodnikové směrnice a postupy pro posuzování vlivů a ohlašování rizikových zpracovávání osobních údajů Úřadu pro ochranu osobních údajů

zajistit pro vybrané organizace tzv. pověřence ochrany osobních údajů (DPO – Data Protection Officer), speciálního pracovníka, který bude dohlížet nad zpracováváním osobních údajů a komunikací s Úřadem pro ochranu osobních údajů (hlášení úniků nebo pokusů o únik)na základě žádosti zajistit fyzickým osobám:- možnost zjištění rozsahu a účelu evidence osobních údajů v dané organizaci- umožnit přenositelnost osobních údajů poskytnutím jejich exportu ve strojově čitelném formátu - tzv. „právo být zapomenut“, což znamená smazání všech osobních údajů, které organizace eviduje (pokud daný účel není podmíněn nadřízené legislativě)

Výše uvedená opatření lze zobecnit do těchto povinností:

*povinnost provádět posouzení dopadu na ochranu osobních údajů;

*povinnost vést záznamy o zpracovaných osobních údajů;

*povinnost ohlašovat případy narušení bezpečnosti;

*povinnost jmenovat pověřence pro ochranu osobních údajů, DPO, pro společnosti kde hlavní činnosti správce nebo zpracovatele osobních údajů spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování osob. 

 





Martin Modl, 2009

Copyright © 2009 - 2018 | Česká asociace Sport pro všechny | spolek třetího tisíciletí

K provozování tohoto webu využíváme takzvané cookies. Cookies jsou soubory sloužící k přizpůsobení obsahu webu, k měření jeho funkčnosti a obecně k zajištění vaší maximální spokojenosti. Používáním tohoto webu souhlasíte se způsobem, jakým s cookies nakládáme. Další informace.