Jak zpracovávat osobní údaje v souladu s GDPR?
Aby byly osobní údaje zpracovávány v souladu s GDPR musí být splněna jedna z následujících podmínek:
- subjekt údajů udělil souhlas se zpracováním osobních údajů,
- zpracování je nezbytné pro splnění smlouvy,
- zpracování je nezbytné pro splnění právní/zákonné povinnosti,
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů,
- zpracování je ve veřejném zájmu nebo při výkonu veřejné moci,
- zpracování je v oprávněném zájmu správce či třetí strany.
Souhlas se zpracováním osobních údajů
Pokud jsou data zpracovávána na základě souhlasu, musí být správce schopen kdykoliv doložit, že mu subjekt údajů udělil souhlas se zpracováním osobních údajů. Souhlas se zpracováním osobních údajů musí být svobodný, konkrétní, informovaný, jednoznačný a ničím nepodmíněny. Znění souhlasu se zpracováním osobních údajů musí být srozumitelné, jasné za použití jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Subjekt údajů může svůj souhlas kdykoliv odvolat. Nicméně je nutné si uvědomit, že souhlas se zpracováním osobních údajů byl poskytnut k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat.
Práva subjektů údajů
Subjekt údajů neboli fyzická osoba má v souvislosti s GDPR:
- právo přístupu ke všem svým údajům - subjektu údajů musí být umožněno získat potvrzení, zda jsou či nejsou údaje zpracovány, k jakému účelu jsou data zpracovávána, má právo vědět, o jaké kategorie údajů se jedná, komu budou zpřístupněny a plánovanou dobu, po kterou budou údaje uloženy. Subjekt údajů má rovněž možnost podat stížnost u příslušných dozorčích orgánů.
Varování title Upozornění Právem na přístup nesmí být dotčena práva ostatních osob např. obchodní tajemství.
- právo na opravu údajů - subjekt údajů může kdykoliv požádat o opravu poskytnutých údajů. Správce dat musí data bez odkladu opravit či doplnit.
- právo na omezení zpracování - subjekt údajů má právo na omezení zpracování dat, například když je zpracování protiprávní nebo když správce již osobní údaje nepotřebuje.
- právo na přenositelnost údajů - subjekt údajů má právo kdykoliv získat údaje poskytnuté správci údajů a tyto předat jinému správci.
- právo vznést námitku - subjekt údajů má právo vznést námitku ke zpracování osobních údajů a přimět tak správce dat k omezenému zpracování dat.
- právo na výmaz údajů (právo být zapomenut) - subjekt údajů má za určitých podmínek stanovených v nařízení, právo vznést požadavek na výmaz údajů. Správce dat má povinnost tyto údaje bez odkladu vymazat s ohledem na zákonné povinnosti evidence.
Povinnosti správce dat (institucí a firem) vůči GDPR
Správce dat musí zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je v souladu s nařízením. Zároveň dohlídne na to, aby zpracovával pouze ty osobní údaje, jež jsou pro daný účel nezbytně nutné.
Nejvýznamnější technická opatření, která bude nutno realizovat, jsou zejména následující:
- zpracování osobních dat pouze k oprávněným účelům a jen po nezbytně nutnou dobu,
- logování udělených souhlasů se zpracováním osobních údajů,
- anonymizace OÚ - anonymizované údaje jsou takové údaje, pomocí kterých nelze identifikovat subjekt údajů,
- pseudonymizace OÚ – zpracování osobních údajů takovým způsobem, aby nemohly být přiřazeny konkrétní osobě bez použití dalších informací,
- "Inteligentní" vyhledávání a mazání vybraných osobních údajů (právo být zapomenut),
- nastavování přístupových oprávnění k OÚ,
- obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů (řízení zálohování a plány obnovy dat po havárii IS/IT),
- pravidelné testování, posuzování a hodnocení minimalizace zpracovávaných OÚ,
- zajištění integrity, přesnosti OÚ,
- ohlašování porušení zabezpečení OÚ ("incident management") - správce dat má nově povinnost oznámit porušení ochrany dat do 72 hodin příslušnému ÚOOÚ (Úřad pro ochranu osobních údajů) a rovněž dotčené fyzické osobě,
- přístup k OÚ a jejich přenositelnost (poskytnout subjektům právo na výpis, výmaz a přenos).
Jak začít?
K naplnění požadavků GDPR doporučujeme přistoupit komplexně.
- Proveďte analýzu všech firemních procesů kde dochází k nakládání s osobními údaji.
- Zjistěte, co znamená GDPR pro vaši organizaci, nechte si udělat od specializované firmy tzv. "rozdílový audit", tzn. audit současného stavu Vašich systémů vzhledem k plnění požadavků GDPR.
- Doporučujeme, na základě této vstupní analýzy, nechat si udělat analýzu dopadů na OÚ a zpracovat si soubor opatření, který snižuje Vaše rizika vzhledem ke zpracovávaným OÚ.
- Proveďte potřebné změny zabezpečení dat včetně úprav IT systémů.
- Zabezpečte svá data proti úniku a zajistěte všechny potřebné záznamy
- Zajistěte souhlasy ke zpracování osobních dat od všech subjektů osobních údajů, jejichž informace uchováváte a zpracováváte v informačním systému.
Tip |
---|
Některé požadavky jsou jednoduché a zvládnete je sami. Ty složitější budou vyžadovat i externí pomoc od zkušené firmy z oblasti GDPR. Bude se jednat o změny např. změnu obchodních, účetních a personálních procesů. Bude to znamenat nejen změnu směrnic a postupů, ale i zásah do vámi používaných a provozovaných informačních systémů (ERP, CRM atd.) Termín pro všechny kroky je 25. května 2018, kdy nařízení GDPR vejde v platnost. |
Varování |
---|
Upozorňujeme, že Premier system není odborníkem na zavádění GDPR v praxi a tudíž nemůže poskytovat odborné rady k tomuto tématu, s výjimkou aplikace funkcí, kterými podporuje plnění požadavků GDPR. Tyto můžete nalézt zde. |