GDPR

General Data Protection Regulation

Nová ochrana osobních údajůPlatí od 25. května 2018

GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679, kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.

Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit právě od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.

Mění a rozšiřuje stávající definici osobních údajů a zásadním způsobem zvyšuje požadavky na úroveň ochrany a zpracování všech osobních údajů ve všech organizacích a na všech místech jejich výskytu a přenosu.


Co je GDPR?Nová ochrana osobních údajů

  • nové nařízení Evropského parlamentu 2016/679
  • nadřazené zákonu 101/2000 Sb.
  • zavádí nová pravidla ochrany osobních údajů
  • přináší sankce až 20 mil EUR
  • týká se veřejné správy i komerční sféry
  • je účinné od 25. května 2018

Jak se na GDPR připravit?Školení GDPR




Co přináší GDPR?Mění postavení subjektů dat

GDPR nařízení klade významné nároky na smluvní a technické zajištění ochrany a zpracování osobních údajů.

Vyžaduje změny všech smluvních ujednání obsahujících osobní údaje. Veškerá místa výskytu osobních údajů bude nutné doplnit o nové funkcionality a procesy pro zajištění bezpečnosti osobních údajů při jejich zpracování.

Nové nařízení vyžaduje zavedení jednotné metodiky pro zpracování osobních údajů, řízení rizik a jejich aktuálnost.

Organizace se tak nevyhnou zásadním změnám architektury informačních systémů. V mnohých případech bude nutné stávající informační systémy nahradit novými. Požadavky na zajištění bezpečnosti osobních dat vyžadují nové, zatím běžně nepoužívané postupy zajištění přístupu - kryptování dat, logování přístupů, tvar hesel a pod.

Nařízení GDPR vyžaduje proaktivní a preventivní přístup k ochraně dat a nikoli reaktivní a nápravný.

GDPR nařízení mění pravidla předávání osobních údajů třetím stranám a zásadně zvýhodňuje postavení subjektu osobních údajů.

Nově je při předávání osobních dat mezi správcem a zpracovatelem vyžadováno uzavření smluvního ujednání.

Je vyžadována specifikace účelu zpracování, pro který budou osobní údaje shromažďovány, využívány a uchovávány, a to srozumitelným, svobodným a odvolatelným způsobem vůči subjektu údajů a vždy před zahájením jejich zpracování.

Omezení shromažďování osobních dat musí být jasné, srozumitelné, zákonné a omezené s ohledem na nezbytné potřeby podle konkrétního účelu zpracování údajů. Soubor osobních dat musí být omezen na potřebné minimum.

Subjekt osobních údajů má právo přístupu k údajům a právo na jejich přenositelnost. Také má právo vznášet námitky a má právo na omezení zpracování dat. Námitka proti přímému marketingu je přitom absolutní.

GDPR nařízení rozšiřuje požadavky na zabezpečení osobních údajů pro všechny organizace, které tato data zpracovávají na úroveň bezpečnosti dosud běžnou například pro ISO 27 001.

Nařízení zavádí záměrnou a standardní ochranu, institut pověřence pro ochranu osobních údajů, povinnost posuzovat vliv na ochranu osobních údajů a povinnost dokumentace.

Zavádí zejména povinnost evidence všech prováděných zpracování, bezpečnostních událostí a hlášení incidentů.

Sankce za nedodržení nařízení mohou být dle charakteru a závažnosti incidentu až 4% z celkového obratu společnosti nebo až 20 milionů EUR.

Sankce budou uplatňovány orgánem dohledu zejména v případě nehlášení incidentů a budou na principu rovnosti udělovány dle rozhodovací praxe v rámci EU jednotně.

Vedle povinnosti zpracování žádostí subjektů osobních údajů a povinnosti zpracování a hlášení incidentů zavádí nařízení GDPR také povinnost řídit rizika, zajišťovat jejich aktualizaci a povinnost zavést opatření k prokázání souladu s GDPR.

Mezi procesy přímo stanovené nařízením patří zajištění důvěrnosti, integrity, dostupnosti, přístupu a odolnosti systémů a služeb zpracování.

Nařízení nově vytváří pro vybrané organizace povinnost jmenovat Pověřence pro ochranu osobních údajů - DPO (Data Protection Officer). Některé organizace si vystačí s externím DPO, ale větší organizace musí vytvořit nové pracovní pozice pro DPO a jeho tým.

Implementace GDPR je srovnatelná se zavedením norem ISO, vyžaduje vytvoření nových pracovních pozic, změny procesů, technologických opatření, smluvních ujednání a vytvoření nových.

Přípravu na zavedení GDPR nařízení je proto dobré neodkládat.

European Business Enterprise, a.s.
  • Adresa: Masarykovo nám. 14, 251 01 Říčany
  • Email: gdpr@ebe.cz
  • Telefon: +420 323 601 531
  • GSM: +420 739 012 615
Připravíme VásKontaktujte nás, pomůžeme Vám

Naše produkty



Napsali o GDPR

Naši klienti