Tag Archives: Gdpr

GDPR začalo platit 25. května 2018

Obecné nařízení o ochraně osobních údajů (GDPR z anglické zkratky General Data Protection Regulation) bylo Evropským parlamentem a Radou vyhlášeno už v dubnu 2016. Tehdy se to hodně řešilo, nicméně panika velmi rychle ustala. Všechny uklidnilo, že budou novinky účinné až od 25. května 2018. Jenže již máme po tomto datu. Už několik týdnů se novým zařízením musíme řídit. Víte vůbec, o co jde? Do doby než vstoupilo v platnost GDPR nařízení jste byli vázáni pouze českým Zákonem o ochraně osobních údajů. Ochrana osobních údajů GDPR je mu nadřízená.

Co musí firmy podle GDPR nařízení dělat?

Nejdříve si pořádně nastudovat, co jim GDPR ukládá za povinnosti. Jestliže se musí tomuto nařízení podřídit v plném rozsahu, nezbývá než zavést patřičný kodex, procesy a systémy. Firmy musí šifrovat či anonymizovat citlivá data, pracovat s údaji jako s celkem. Měly by být schopné zobrazit uživateli osobní údaje, které o něm uchovávají, na požádání je upravit nebo smazat.

GDPR nařízení lze pojmout i jako příležitost konečně zmodernizovat firemní informační systém, zvýšit bezpečnost a celkově vylepšit procesy práce s informacemi.

Kde vzít informace?

Celé znění GDPR nařízení je k dispozici česky, najdete ho různě na internetu. Po ČR také probíhají školení na toto téma, své služby nabízí i odborníci. Možnou cestou je rovněž GDPR certifikace, v rámci níž vám auditor pomůže doladit procesy, systémy i kodexy, aby odpovídaly GDPR směrnici. Takový certifikát může navíc u zákazníků a obchodních partnerů vybudovat dojem důvěry. Důležité je začít jednat. GDPR se vyhnout nelze a čím déle budete strkat hlavu do písku, tím bude pak příprava náročnější.

Více informací o GDPR nařízení najdete zde:
https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/

Rozesílání newsletterů a GDPR

Tak jako pro všechna zpracování osobních údajů je potřeba mít pro zpracování osobních údajů nějaké zákonné oprávnění, je takovéto zákonné oprávnění nutné i při zpracování osobních údajů za účelem hromadného rozesílání newsletterů prostřednictvím e-mailů.

 

Oprávněný důvod pro zasílání obchodních sdělení je v případě, že jsou zákazníkovi, který již nakoupil nějaké zboží či služby, nabízeny doplňkové služby či výrobky související s předcházející transakcí a lze předpokládat, že zákazník může takovouto komunikace očekávat. V ostatních případech je pro zasílání newsletterů potřeba nejprve souhlas subjektu údajů za účelem zpracování jeho osobních údajů pro tyto účely.

Aby byl udělený souhlas platný, musí splňovat podmínky, které GDPR stanovuje. Souhlas musí být výslovný, prokazatelný, informovaný a nesmí být ničím podmíněný. Žádost o takovýto souhlas musí být srozumitelný a musí obsahovat popis účelu zpracování, způsob zpracování a informací, kdo a po jakou dobu osobní údaje zpracovává a jak jsou tyto údaje chráněny. Každý subjekt údajů musí být ještě informován o svých právech, zejména pak že souhlas lze kdykoliv odvolat a jakým způsobem.

http://dataosobni.cz/2018/05/28/rozesilani-newsletteru-a-gdpr/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/povinnosti/

Ověřené informace v oblasti GDPR

General Data Proteciton Regulation, GDPR, či hezky česky Obecné nařízení na ochranu osobních údajů. Toto opatření přicházející z Evropského parlamentu a Rady začne platit už v květnu tohoto roku, a jelikož EU hrozí vysokými pokutami, mnohé firmy z něj mají strach. Ty zodpovědnější už si dávno našly vlastního konzultanta, ale co má dělat zbytek? GDPR nařízením chce EU docílit toho, aby měli lidé větší kontrolu nad osobními údaji, které o nich uchovávají nejrůznější firmy. Stojíte-li v pozici fyzické osoby, můžete se tedy radovat. GDPR vám život neztíží, spíš naopak. Pakliže se ale musíte na situaci dívat ze strany firmy, začínáte možná být poněkud zoufalí. GDPR nařízení se blíží a většina lidí stále neví, jak se na něj připravit.

Nejste na GDPR sami

Máte pocit, že se v problematice GDPR ztrácíte a netušíte, kde začít? V žádném případě nový zákon nepodceňujte, protože za nedodržení hrozí skutečně vysoký postih. Můžete se však obrátit na někoho, kdo vám poskytne odbornou konzultaci, provede datový audit, audit kodexu ochrany osobních údajů, připraví vnitřní směrnice nebo realizuje kompletní GDPR audit. S veškerými problémy souvisejícími s nařízením GDPR vám pomohou odborníci z Asociace za lepší ICT řešení. V rámci neziskové organizace působí specialisté, kteří sdílí své zkušenosti s firmami a institucemi – společně se snaží o nalezení optimálního řešení.

Je tu on-line GDPR audit zdarma

Chcete-li se dozvědět, jak se na vaši firmu vztahují povinnosti související s evropskou GDPR směrnicí, využijte možnost bezplatného on-line auditu, který najdete na webových stránkách www.lepsi-reseni.cz. GDPR audit vám objasní vše, co byste měli ohledně ochrany osobních údajů vědět, a případně i možnosti, jak se některým povinnostem vyhnout. Stačí, když vyplníte formulář – výslednou zprávu obdržíte e-mailem. Zmíněný on-line GDPR audit je zdarma, ovšem můžete zvolit i druhou variantu – podrobnější rozbor s osobní účastí certifikovaného konzultanta a konkrétní návody na řešení ve vaší firmě. Dostanete detailní odpovědi a seznam kroků, které musíte učinit, abyste vyhověli všem zákonným požadavkům. Zároveň obdržíte doporučený kodex ochrany osobních údajů vhodný pro vaše podnikání a plán projektu implementace. Po dobu jednoho roku bude dostávat aktualizovaná doporučení dle případných změn legislativy či doporučení regulátora. Další výhodou GDPR auditu je výrazně rychlejší a levnější případná certifikace.

Obecné nařízení o ochraně údajů: GDPR

Ptáte se, co je GDPR směrnice a na koho se vztahuje? Jedná se o výsledek jednání orgánů Evropské unie, proto se dotýká firem po celé EU. Vztahuje se však rovněž na společnosti, které v unii pouze působí a zpracovávají data jejích obyvatel. O osobní informace tady totiž jde. GDPR nařízení je určené všem firmám, které nějakým způsobem pracují s citlivými daty zákazníků, zaměstnanců, dodavatelů apod. A to dělají téměř všechny korporace. Samozřejmě existují výjimky. Od pravidel jsou oproštěny drobné firmy do 250 zaměstnanců, jestliže není zpracování osobních údajů jejich hlavní činností a splňují další předpisy. Kdo si není jistý, zda pod takovou výjimku spadá, nebo musí naopak začít GDPR řešit, měl by se co nejdříve obrátit na profesionály. Odborný GDPR audit napoví.

A co když firma GDPR směrnici nedodrží?

EU hrozí vysokými pokutami až do výše 20 000 000 eur či 4 % z ročního obratu společnosti. Vše však bude záviset na závažnosti i délce porušení, počtu poškozených občanů a dalších kritériích. Sankce určitě nebudou tak vysoké, pokud se firma aspoň nějakým způsobem vynasnaží nařízení dodržovat. Po pravdě řečeno to vypadá, že se výší pokut ohání pouze GDPR konzultanti, kteří chtějí lidi vystrašit, a získat si tím zákazníky. Z GDPR nařízení mít strach nemusíte, ještě máte spoustu času na implementaci potřebných opatření. Nenechte se vystrašit, vždyť s nařízením se potýká spousta firem a všichni to nějak zvládnou. Na internetu také najdete mnoho článků. Může vám také pomoci GDPR audit vzor, který vás jednotlivými základními kroky auditu provede.

Odpovědnost správce osobních údajů dle GDPR

Nové nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů neboli GDPR přináší řadu změn zejména pro správce osobních údajů.

 

Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí jejich shromažďování, zpracování a uchování. Pro zpracování osobních údajů musí mít správce právní důvod.

Správce je odpovědný za zabezpečení, správu a veškeré zpracování osobních údajů. Mezi základní povinnosti správce patří zavedení vhodných technických a organizačních opatření, aby zajistil a byl schopen doložit soulad s GDPR. Tato opatření musí revidovat a aktualizovat.

Správce je povinen nahlásit porušení zabezpečení osobních údajů na ÚOOÚ do 72 hodin od okamžiku, kdy se o tom dozví v případě, že incident bude mít za následek riziko pro subjekty údajů.

Na základě principu odpovědnosti musí být správce schopen doložit, že dodržuje zásady pro zpracování osobních údajů po celou dobu trvání zpracování a že zpracovává pouze ty údaje, které jsou nutné pro daný účel zpracování.

http://dataosobni.cz/2018/04/26/odpovednost-spravce-osobnich-udaju-dle-gdpr/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/povinnosti/

GDPR nařízení bude platit od května roku 2018

Jak zjistit, zda se na vás GDPR nařízení vztahuje? Nejlepší je obrátit se na odborníky. Po celé ČR postupně probíhají různé konference na toto téma, navíc je možné obrátit se na dodavatele ICT, kteří se zavedením GDPR pomohou. V každém případě je dobré nenechávat vše na odbornících, něco si musíte nastudovat rovněž sami, abyste vůbec věděli, o čem je řeč. Asociace za lepší ICT řešení proto připravila i GDPR česky – v češtině najdete kompletní znění GDPR a také odpovědi na základní otázky.

GDPR nařízení – co se přesně změní?

Abychom vás novým GDPR nařízením jenom neděsili, musíme uznat, že řada nařízení u nás fungovala i doposud. Těch nových je však nemálo. Firmy budou muset důkladně informovat majitele údajů o jejich právech. Majitel informací bude moci například vznést námitku proti zpracování. Lidé budou muset mít přímý přístup k údajům, aby se mohli podívat, co o nich kdo shromažďuje. Nově se změní také chápání osobních údajů, budou pod ně spadat i e-mail, IP adresa a cookies. Organizace budou mít také povinnost do 72 hodin oznámit odcizení osobních údajů, aby se nestávalo, že podobné kauzy vyplynou na povrch až po několika letech.

Jaké povinnosti budou firmy mít?

Budou muset vést záznamy o činnostech zpracování, ohlašovat porušení zabezpečení Úřadu pro ochranu osobních údajů a majitelům dat, stanovit pověřence pro ochranu osobních údajů atd. Povinností je vícero, na internetu najdete mnoho zdrojů, které se jim věnují a lépe je popisují. Případně se podívejte na kompletní znění GDPR česky.

Jestliže GDPR nařízení zazdíte, nebo jej budete porušovat, čekají vás poměrně vysoké pokuty. V některých případech mohou být zajisté likvidační, jelikož se jedná o částky až do výše 20 000 000 eur nebo 4 % z ročního obratu společnosti (bere se vyšší možnost). I společnost s pěti zaměstnanci může dostat pokutu, jestli nebude dodržovat GDPR nařízení.

GDPR nařízení se dotkne každé firmy

Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů. To je aktuálně velice žhavé téma, které se týká poměrně velkého množství subjektů. Zkráceně GDPR nařízení začne platit s účinností od 25. května 2018 a vztahuje se na řadu právnických osob a podnikatelů, včetně veřejného sektoru.

Co vlastně musí firmy dělat jinak?

Díky platnosti GDPR nařízení budou muset spoelčnosti implementovat ochranu dat, vypracovat tzv. Data Protection Impact Assessment (posouzení vlivu na ochranu osobních údajů), některé jmenovat Data Protection Officer (pověřence pro ochranu osobních údajů), vést záznamy o zpracování osobních dat a konzultovat rizikové záležitosti s dozorovým orgánem. Pokud se podíváme na konkrétní příklady, bude nezbytné vlastníky údajů informovat o tom, co s jejich daty provádíte. Ti budou mít kdykoliv možnost požádat o odstranění svých informací, jestliže už je nadále k ničemu nepotřebujete. Nově bude rovněž nezbytné nahlásit jakýkoliv únik citlivých informací, abychom se o něm nedozvídali až o několik let později, jako tomu bylo v loňské kauze Yahoo. Možná by bylo dobré také vyjasnit, že za osobní údaje GDPR považuje jméno, příjmení, pohlaví, věk, datum narození, fotografický záznam, nákupy, osobní stav, IP adresu, e-mail, telefonní číslo, genetické, biometrické údaje, náboženské a politické názory, zdravotní stav, sexuální orientaci, trestní delikty.

Proces GDPR certifikace

Za nedodržování směrnice GDPR čekají právnické subjekty nemalé finanční postihy. Seznamte se s potřebnými kroky pro správné nakládání s citlivými daty a zaměřte se na odpovídající kodexy, zvolte vhodného pověřence a zajistěte si procesy pro bezpečnou automatizaci firmy. Mimo jiné si pojistíte též kybernetickou bezpečnost a v případě, že nemáte ve společnosti vlastního specializovaného právníka, nechte si profesionálem navrhnout odbornou konzultaci a datový audit. Tím obdržíte vyhodnocení situace, návod na řešení a konzultace vám umožní získat odpovědi na všechny důležité otázky z tohoto odvětví. Své soukromé údaje by si měl každý pečlivě střežit a informovat se, jak se s nimi nakládáno. Jakmile by se vaše data dostala do nesprávných rukou, mohlo by se stát, že by adresa, čísla dokladů i elektronické údaje byly zneužity. Na trhu ale najdete strůjce špičkových programů splňujících náročné podmínky pro práci s citlivými daty, na které se neváhejte obrátit ještě dnes a ti vám s GDPR nařízením pomohou..

Na koho se vůbec GDPR směrnice vztahuje?

Ptáte se, co je GDPR směrnice a na koho se vztahuje? Jedná se o výsledek jednání orgánů Evropské unie, proto se dotýká firem po celé EU. Vztahuje se však rovněž na společnosti, které v unii pouze působí a zpracovávají data jejích obyvatel. O osobní informace tady totiž jde. GDPR nařízení je určené všem firmám, které nějakým způsobem pracují s citlivými daty zákazníků, zaměstnanců, dodavatelů apod. A to dělají téměř všechny korporace. Samozřejmě existují výjimky. Od pravidel jsou oproštěny drobné firmy do 250 zaměstnanců, jestliže není zpracování osobních údajů jejich hlavní činností a splňují další předpisy. Kdo si není jistý, zda pod takovou výjimku spadá, nebo musí naopak začít GDPR řešit, měl by se co nejdříve obrátit na profesionály. Odborný GDPR audit napoví.

A co když firma GDPR směrnici nedodrží?

EU hrozí vysokými pokutami až do výše 20 000 000 eur či 4 % z ročního obratu společnosti. Vše však bude záviset na závažnosti i délce porušení, počtu poškozených občanů a dalších kritériích. Sankce určitě nebudou tak vysoké, pokud se firma aspoň nějakým způsobem vynasnaží nařízení dodržovat. Po pravdě řečeno to vypadá, že se výší pokut ohání pouze GDPR konzultanti, kteří chtějí lidi vystrašit, a získat si tím zákazníky. Z GDPR nařízení mít strach nemusíte, ještě máte spoustu času na implementaci potřebných opatření. Nenechte se vystrašit, vždyť s nařízením se potýká spousta firem a všichni to nějak zvládnou. Na internetu také najdete mnoho článků. Může vám také pomoci GDPR audit vzor, který vás jednotlivými základními kroky auditu provede.

Jaké sankce hrozí firmám za ignorování GDPR

GDPR – nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů se týká všech firem, institucí i spolků, které shromažďují a zpracovávají osobní údaje osob.

Toto nařízení sjednocuje ochranu osobních údajů v celé Evropské unii. Přinese těsnější spolupráci dozorových orgánů a rovnocennou vymahatelnost práva. Srovnatelné budou i pokuty, které hrozí za nedodržování či ignoraci GDPR. Výše pokut se může vyšplhat až na 20 mil. Eur nebo 4% z celkového ročního obratu firmy.

Mimo správních pokut správcům a zpracovatelům osobních údajů hrozí žaloby podané fyzickými osobami s požadavkem na náhradu škody v případě hmotné i nehmotné újmy.

Výše pokut a případná ztráta důvěry může být pro řadu firem až likvidační. Určitě se tak vyplatí učinit nezbytné kroky a s osobními údaji pracovat v soulady s principy a povinnostmi vyplývajícími z GDPR.

http://dataosobni.cz/2018/03/16/jake-sankce-hrozi-firmam-za-ignorovani-gdpr/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/povinnosti/

Konzultace ke GDPR nařízení

Obecné nařízení o ochraně osobních údajů GDPR (z anglického General Data Protection Regulation) je platné ve všech zemích Evropské unie. Nevztahuje se pouze na firmy zaměstnávající méně než 250 lidí. Toto GDPR nařízení nabude účinnost dne 25. května 2018. Pojem osobní údaje se vztahuje ke všem údajům, které lze přiřadit konkrétní osobě prostřednictvím jména, bydliště, rodného čísla nebo dne narození, podobně jako čísel osobních dokladů (občanský a řidičský průkaz, cestovní pas) a elektronických dat (IP adresa, cookie, lokalizační údaje). Nařízení se vztahuje jak na automatizované, tak neautomatizované zpracování. Pokud se na firmu vztahuje GDPR nařízení o ochraně osobních údajů, musí zavést odpovídající kodex, procesy a systémy. Audit nám spolehlivě provede Asociace za lepší ICT řešení. Díky GDPR konzultaci Asociace za lepší ICT řešení zjistí, zda je firma schopna zobrazit uživateli přehled osobních údajů, zpracovat žádost o jejich úpravu nebo vymazání a zpřístupnit je pro přenos. Dále je její povinností přiřadit příznak omezení a příslušné blokování nebo doložení zavedení procesů zanesení, ochrany a likvidace dat.

Proč by firmy měly objednat GDPR audit?

Implementace požadavků nařízení GDPR není úplně snadný krok. Aby měla smysl, je důležitá prvotní analýza, správné nastavení kodexu a souvisejících procesů a systémů, a poté otestování a vyhodnocení finálního stavu. Směrnice GDPR nařízení je zároveň příležitostí zvýšit celkovou kybernetickou bezpečnost a zároveň nevyhnutelnou zátěží, kterou musí pod pohrůžkou vysoké finanční sankce dodržovat každá firma. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem. Ne každý podnik má dostatečně zkušeného právníka, takže v rámci procesu zavádění GDPR nařízení bude většina firem využívat externí dodavatele služeb. Specialisté vám mohou zpracovat datový audit, audit procesů, připravit kodex ochrany osobních údajů a navrhnout kroky k dosažení shody s GDPR. Pokud budete jmenovat pověřence DPO z řad zaměstnanců, určitě je důležité kvalitní GDPR školení. Ale klíčová je výsledná podoba práce s osobními údaji – a právě její správnost pomůže doladit a potvrdit GDPR audit od certifikované autority. GDPR audit je garancí pro vedení společnosti, důkazem pro ÚOOU a jasným signálem pro zákazníky, že se jedná o seriozního obchodního partnera. Přitom cena GDPR auditu nemusí být nijak horentní – pokud je zavedení GDPR transparentní a správně zdokumentované.