GDPR - General Data Protection Regulation
GDPR (General Data Protection Regulation) je nařízení Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Nahrazuje směrnici 95/46 EC s účinností od 25.5.2018 a v České republice zákon č. 101/2000 Sb. na ochranu osobních údajů.
Účelem GDPR je dohled a regulace nad zpracováním osobních údajů fyzických osob a zajistit lepší kontrolu osobám nad jejich osobními údaji. Nové nařízení se významně dotkne soukromých subjektů, orgánů státní správy a samosprávy a dalších spolupracujících organizací, které zpracovávají osobní údaje svých klientů a zaměstnanců. Zodpovědnost za dodržení souladu s nařízením je vždy na straně statutárního orgánu nebo vedení organizace s rozhodujícím vlivem.
Vymezení osobních údajů v GDPR
Osobní údaj – veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor:
Obecné
|
Organizační
|
Citlivé osobní údaje
|
Nevztahuje se na osobní údaje zesnulých ani na anonymizované údaje. Vztahuje se na šifrované osobní údaje, jelikož někdo zná šifrovací klíč.
Výše pokut
Správní pokuty za nedodržení souladu s nařízením Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů jsou závislé na řadě faktorů, nejsou však nezanedbatelné pro další fungování organizačních subjektů.
Za porušení ustanovení je výše pokuty:
- 20 000 000 EUR nebo jedná-li se o podnik až 4 % z celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší
- 10 000 000 EUR nebo jedná-li se o podnik až 2 % z celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší
Implementace nařízení
Jelikož příprava na implementaci opatření a následná aplikace nových pravidel do společnosti je časově značně náročná, doporučujeme již nyní, začít se otázkou nového nařízení zabývat.
Před zahájením implementace jednotlivých kroků nařízení je především důležité zanalyzovat zacílení společnosti a okruh zpracování osobních údajů. Zde je nutné podívat se na důležitost zpracování dat z dvojího pohledu, ze strany správců (zpracovatelů osobních údajů pro své vlastní účely) a ze strany zpracovatelů (zpracovatelů osobních údajů pro správce).
Na zavedení opatření je vhodné se zaměřit projektově s jasně definovanými fázemi, stanovenými odpovědnostmi a vymezeným časovým horizontem:
- Analýza rozsahu posuzování
- Analýza současného stavu zpracování osobních údajů
- Zpracování projektového záměru a harmonogramu implementace
- Realizace projektového záměru
- Audit souladu s nařízením
Tyto kroky mohou v první fázi implementace právního souladu zabrat velice dlouhou dobu.
V další fázi, jež je neodmyslitelnou součástí celé implementace a následného dodržení souladu, je kladen důraz na:
- Stanovení DPO (Data Protection Officer), pověřence pro ochranu osobních údajů
- Monitoring nakládání s osobními údaji a řízení změn
- Vedení záznamů o zpracování osobních údajů
- Komunikace s dozorovými orgány
Potřebujete-li poradit v oblasti GDPR, provést analýzu stavu (gap analýzu), školení GDPR nebo svěřit celou implementací GDPR ve Vaší organizaci zkušené a pečlivě proškolené poradenské společnosti - kontaktujte nás. Připravíme Vám nabídku dle Vašeho požadavku.
Zpět na hlavní stránku www.noveiso.cz
Image courtesy of hyena reality at FreeDigitalPhotos.net