Obecné nařízení o ochraně osobních údajů – GDPR

Od 25. května 2018 bude potřeba řídit zpracování osobních údajů podle Nařízení Evropského parlamentu a Rady (EU) 2016/679. Toto nařízení je označováno jako obecné nařízení o ochraně osobních údajů a je známo také pod zkratkou GDPR (General Data Protection Regulation). Obecné nařízení zároveň 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů. Obecné nařízení je v řadě věcí podobné zákonu o ochraně osobních údajů, klade však větší důraz na správce dat a schopnost prokazování, že postupuje v souladu s požadavky. Dále je požadováno mít řešení zpracování osobních údajů navržené i s ohledem na rizika, vést komplexní dokumentaci, evidovat činnosti týkající se zpracování osobních údajů a další. Významnou hrozbou, kterou GDPR přináší, je výše možných pokut sahajících až do 20 mil. EUR nebo do 4 % celkového ročního obratu celosvětově s tím, že platí vyšší hodnota (viz článek 83 obecného nařízení o ochraně osobních údajů). GDPR se týká všech subjektů, které zpracovávají osobní údaje. Zpravidla se jedná o osobní údaje zaměstnanců, zákazníků, dodavatelů apod.

Pro zavedení požadavků GDPR do praxe je nutné provést komplexní revizi zpracování osobních údajů, nastavit nové procesy, kontrolní mechanismy a zpracovat podrobnou dokumentaci. Řada požadavků může být samozřejmě řešena také automatizovaně v rámci informačních systémů, např. logování zpracování osobních údajů, automatický výmaz osobních údajů k danému datu, zajištění práva občana na přístup k evidovaným osobním údajům, zajištění práva na výmaz osobních údajů nebo práva na přenositelnost osobních údajů. Rozhodli jsme se proto připravit řešení, které zavedení požadavků obecného nařízení usnadní. Řešení zpravidla implementujeme do systémů SugarCRM, SpiceCRM nebo SuiteCRM. Pokud zatím CRM systém nemáte, budete jej zřejmě kvůli evidenci informací o svých zákaznících s ohledem na požadavky GDPR potřebovat. Obraťte se na nás a s implementací požadavků GDPR do Vaší firmy Vám pomůžeme. Dále si můžete přečíst odpovědi na často kladené otázky, se kterými se při konzultacích s našimi klienty setkáváme. Připravili jsme pro Vás i slovníček základních pojmů GDPR a přehled kvalitních zdrojů informací o GDPR.

Není obecné nařízení o ochraně osobních údajů příliš obecné?

S našimi klienty se zabýváme přípravou CRM na GDPR. Často se setkáváme s názorem, že požadavky GDPR jsou příliš obecné a těžko lze na jejich základě aplikovat konkrétní opatření v podnikovém informačním systému. Při podrobnějším pročtení tohoto nařízení je však možné nalézt požadavky, které musí zcela jednoznačně být v každém podnikovém systému implementovány. Správce musí být například schopen zcela jednoznačně prokázat, zda daný osobní údaj eviduje na základě zákonného titulu nebo souhlasu občana. Je tedy jasné, že takové informace je potřeba rozumným způsobem uchovávat tak, aby byly v případě potřeby snadno dohledatelné. U každého osobního údaje musí být dále informace, od kterého data a do kterého data je daný osobní údaj zpracováván. Tato data musí být zpracovatel v případě potřeby schopen prokázat a odůvodnit. Po uplynutí doby platnosti zákonného titulu nebo souhlasu musí být daný osobní údaj odstraněn ze všech umístění, kde se nachází. Další konkrétní opatření plynou z práva občana na zpřístupnění, výmaz a přenositelnost svých osobních údajů. Nelze tedy tvrdit, že by obecné nařízení o ochraně osobních údajů bylo příliš obecné. Je potřeba na jeho základě realizovat konkrétní opatření, z nichž výše jsou uvedena jen některá.

Existuje jednoduchý nástroj pro vyřešení GDPR?

Docílit toho, aby Vaše firma pracovala v souladu s požadavky GDPR bohužel nelze pouhou instalací konkrétního nástroje. GDPR od firem vyžaduje komplexní revizi zpracovávání osobních údajů. Nejprve je potřeba si ujasnit, jaké osobní údaje jsou jakým způsobem a k jakému účelu zpracovávány. Osobní údaje se mohou objevit například v informačních systémech, excelových tabulkách, emailech a dokumentech. Mohou ale být i fyzicky vytištěné. Zde nastává lámání chleba. Pokud jsou osobní údaje uvedené i v tištěných zdrojích, nelze problematiku GDPR vyřešit instalací sebelepší aplikace.

Můžete si představit třeba situaci, kdy je kromě nezbytného výmazu osobních údajů ze systému nutné skartovat i vytištěný dokument. Takovou operaci již aplikace nezajistí. Může ale upozornit odpovědného pracovníka, aby ji provedl a následně potvrdil v aplikaci. Z uvedeného příkladu je vidět, že potřebné ošetření požadavků GDPR má přesah jak do automatizovaných procesů informačních systémů, tak do procesů fyzicky realizovaných kompetentními pracovníky. Už jen z tohoto důvodu bohužel snadné řešení prostřednictvím instalace konkrétní aplikace není možné.

Jaký je význam pojmů v GDPR?

Podrobně jsou veškeré pojmy definovány v článku 4 obecného nařízení o ochraně osobních údajů. Pro rychlé zorientování uvádíme níže ty, se kterými pracujeme na našem webu nejčastěji:

1. Osobní údaje – veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Jedná se o známé údaje, jako je jméno, příjmení nebo rodné číslo, ale také o lokační údaje, IP adresy, fotografie apod.;
2. Zpracování osobních údajů – jakákoli operace s osobními údaji, např. shromáždění, vyhledání, nahlédnutí, použití, vymazání a další;
3. Subjekt údajů – fyzická osoba identifikovaná nebo identifikovatelná osobními údaji;
4. Správce – subjekt, který zpracovává osobní údaje. Může se jednat o fyzickou i právnickou osobu;
5. Zpracovatel – subjekt, který zpracovává osobní údaje pro správce. Může se jednat o fyzickou i právnickou osobu;
6. Souhlas se zpracováním osobních údajů – projev vůle občana se zpracováním konkrétních osobních údajů.

Kde naleznu kvalitní zdroje informací o GDPR?

Můžeme doporučit zejména následující zdroje:

1. Oficiální text obecného nařízení o ochraně osobních údajů uvedený v Úředním věstníku EU L 119;
2. Oficiální stránka EU věnovaná reformě pravidel pro ochranu osobních údajů;
3. Strukturované informace dle jednotlivých témat nařízení s možností prokliků na dané paragrafy a odůvodnění na stránkách Privacy-regulation.eu;
4. Samostatná sekce Úřadu pro ochranu osobních údajů na téma GDPR;
5. Články k tématu GDPR a ePrivacy publikované Sdružením pro internetový rozvoj (SPIR);
6. Články v sekci Privacy & Data Protection publikované asociací IAB Europe.

Jak mám začít?

Napište nám na obchod@allwithyou.cz nebo zavolejte na +420 731 814 297 a prodiskutujeme společně vhodné možnosti řešení pro Vaši firmu.