Close

20.4.2017

Jste připraveni na GDPR?

Jak moc víte o GDPR?

Dne 14. dubna 2016 Evropský parlament provedl rozsáhlé změny svých předpisů o ochraně osobních údajů. Nařízení o obecném ochraně údajů (GDPR) vstoupí v platnost dne 25. května 2018 a bude mít rozsáhlý globální dopad na jakoukoli společnost zabývající se sběrem, přenosem, ukládáním, nebo zpracováváním osobně identifikovatelných informací o občanech EU.

Tak co se změnilo?

Cílem GDPR je napravit mnoho omezení, která vyplývají ze směrnice, harmonizací ochrany údajů v celé Evropě a vytvořením jednotného mechanismu pro provádění a prosazování, nebo podle toho, co Evropská komise označuje jako přístup k „jednotnému kontaktnímu místu“.

Například myšlenka, co tvoří „osobní údaje“, byla standardizována tak, aby obsahovala veškeré informace týkající se fyzické osoby (subjekt údajů), kteří mohou být přímo či nepřímo identifikováni. (GDPR, čl. 4, odst. 1). Osobní údaje v rámci GDPR mohou zahrnovat věci, jako je jméno osoby, číslo totožnosti, údaje o poloze, identifikační číslo online nebo „jeden nebo více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu“ osoby (GDPR, článek 4, bod 1).

GDPR rovněž zajišťuje globální ochranu dat. Podle nových předpisů musí každá společnost, která shromažďuje, ukládá, zpracovává nebo předává osobní údaje všech občanů EU, musí splňovat řadu nových požadavků, včetně:

  1. Souhlas: Subjekty údajů musí být informovány a svobodně souhlasit s uložením jejich údajů. Souhlas musí být jednoznačný a musí být kladně udělen. Jinými slovy, společnosti nemohou jen zakrýt své politiky ochrany osobních údajů v dolní části svých TOS (článek 4, kapitola 11).
  2. Právo na objekt: Subjekty údajů mohou vznést námitky proti jejich profilovaným informacím, a to i pro účely přímého marketingu (článek 21). Podniky nemusí dělat nežádoucí rozhodnutí o subjektu údajů založeném výhradně na automatizovaném zpracování (např. Profilování), aniž by k tomu výslovně souhlasil (článek 22).
  3. Právo na zapomenutí: Subjekty údajů mohou vyžadovat od organizací, které kontrolují jejich údaje, aby je odstranily. Třetí osoby, které mohly tyto údaje obdržet od správce, musí rovněž vyhovět této žádosti (článek 17).
  4. Oznámení o narušení údajů: Ve většině případů musí správci do 72 hodin oznámit orgánům dozoru jakoukoli jurisdikci, v níž se shromažďují údaje, o jakémkoli podezření na porušení údajů (článek 33). Pokud v důsledku porušení údajů dojde k „vysokému riziku“ subjektu údajů, musí organizace také bez zbytečného odkladu upozornit subjekt (článek 34).
  5. Pracovníci ochrany údajů a posuzování dopadů na ochranu osobních údajů: Kontroléři a zpracovatelé údajů musí určit osobu, jejíž základní činnost spočívá v monitorování a zajišťování souladu se zpracováním údajů subjektu (článek 37). Úřad pro ochranu údajů musí být nezávislý a musí se hlásit přímo na „nejvyšší řídicí úroveň“ (článek 38).
  6. Dále zpracovatelé a správci údajů musí provádět posouzení dopadů na soukromí ve všech „předpokládaných operacích zpracování“ týkajících se osobních údajů (článek 35).
  7. Jednou z nejdůležitějších změn z DPD je to, že se očekává, že GDPR bude mít vážné zuby, pokud jde o dodržování předpisů. Subjekty údajů mají nyní právo požadovat náhradu za škody a zpracovatelé nebo správci, kteří porušují některá ustanovení GDPR (např. Souhlas nebo povinnosti ochrany údajů), mohou čelit správním pokutám až do výše 20 milionů EUR nebo 4% Ročního obratu, podle toho, která hodnota je vyšší (článek 83).

Zatímco GDPR ukládá řadu zdánlivě složitých požadavků, ve skutečnosti mnohé z nich představují dobrou praxi v oblasti bezpečnosti údajů a již jsou plně nebo částečně uspokojovány společnostmi EU a USA, které v současné době dodržují DPD, nebo podniky, které jsou povinny dodržovat S předpisy, jako je norma platební karty pro průmyslové karty (PCI-DSS) nebo zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA).

Květen 2018 se zdá daleko, ale zavedení GDPR zahrnuje mnoho etap a proto je potřeba začít již co nejdříve.

Chytré firmy, zejména ti, kteří nejsou obeznámeni GDPR, by měli začít proces brzy a pracovat s kvalifikovanými firmami, které mohou pomoci zajistit hladký a efektivní přechod.

 

ZPĚT NA VÝPIS NOVINEK

20.4.2017