Co jste chtěli vědět o GDPR a báli jste se zeptat

Obecné nařízení o ochraně dat (GDPR – General Data Protection Regulation) je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

Dotkne se každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které na evropském trhu působí. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.

V případě závažného porušení pak budou firmám hrozit vysoké pokuty. To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU, aby je národní vlády a zákonodárci nemohli jakkoli ohýbat a přizpůsobovat místním zájmům nebo lobbistům.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.

Od kdy GDPR platí?

 
Obecné nařízení o ochraně dat bylo přijato již v dubnu 2016, v účinnost ale vstupuje až od 25. května 2018.
Na Slovensku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě zákona č. 428/2002 Z. z., o ochraně osobních údajů

Jaké největší změny GDPR přináší?

 
Nařízení s sebou přinese rovnocennou vymahatelnost práva v celé EU, stejné sankce a mnohem těsnější spolupráci dozorových orgánů.
Dopadne totiž skutečně na každého, kdo s osobními údaji při svém podnikání či působení pracuje. Občané EU tak opět získají kontrolu nad svými osobními údaji.

S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.

Asi největší změnou bude oznamovací povinnost v případě narušení bezpečnosti údajů. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat ÚOOÚ do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Jaké jsou výhody GDPR pro občany?

 
GDPR dává lidem, kterým údaje patří (těm říká “subjekty údajů”), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, budou například mít také právo vznést na správce údajů námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné a prokazatelné důvody; či právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. V takovém případě by žadatel měl informace získat ve strukturovaném strojově čitelném formátu. Občan by rovněž měl mít přístup k údajům, které jsou o něm shromažďovány. Naprosto novým elementem je právo na vymazání a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.

 

GDPR a Reservanto

 
Reservanto je v roli zpracovatele osobních údajů pro firmy poskytující služby v řadě oborů, které jsou v roli správce. Každý den využívají naši zákazníci Reservanto pro správu svých rezervací, kam zadávají osobní údaje svých klientů. K ochraně těchto dat přistupujeme opravdu velmi pečlivě. Bezpečnost dat našich zákazníků je pro nás velice důležitá, proto je od samého počátku uchováváme podle nejpřísnějších bezpečnostních standardů.

Nové VOP

 
Dalším krokem, který stanovují zásady GDPR, je aktualizace Všeobecných obchodních podmínek, ve kterých jsme upravili bod číslo 11 (Ochrana osobních údajů) a vejdou v platnost od 25. května 2018. Nové všeobecné podmínky najdete na adrese https://www.reservanto.sk/Stranka/nove-obchodne-podmienky.

V Reservantu připravujeme nové funkce:

 
“Anonymizace smazaných zákazníků” – pokud zákazník zažádá o vymazání veškerých údajů o své osobě, v systému tyto konkrétní údaje přestanou existovat. Rezervace jako takové zde ale stále zůstávají (avšak bez jakýchkoli osobních údajů), a to pro případ vašich statistik nebo návaznosti na účetnictví.

“Souhlas se zpracováním osobních údajů” – tato funkce je k dispozici již nyní, Vaše databáze tento souhlas již obsahuje. V případě, že Váš zákazník čerpá z rozšířených služeb Vaší nabídky (ke kterému došlo po spuštění nových zásad GDPR), je nutno s tímto zákazníkem potvrdit Souhlas se zpracováním osobních údajů v novém, rozšířeném, rozsahu.
Nově v okně “Zákazník” najdete informaci, zda Váš zákazník souhlas dal a kdy, a taktéž přibude funkce pro ruční udělení nebo odebrání souhlasu.

“Export osobních údajů zákazníka” – díky této funkci bude možné na žádost zákazníka vyexportovat jak jeho kontaktní údaje, tak i “vlastní pole zákazníka” s ostatními dodatečnými údaji. A to do formátu PDF a taktéž do formátu JSON (jedná se o strojově čitelný formát, pro případ přechodu zákazníka k jinému poskytovateli služeb). Ten samý postup platí i v případě žádosti Vašich zaměstnanců.

Jak se na GDPR připravit i u vás ve firmě?

 

  1. Stanovte si jednoduchou GDPR analýzu (jaká data vlastně zpracováváte). Buď můžete vše sami nastudovat, nebo využít dostupné konzultanty, anebo si můžete zakoupit balíček dokumentů a nasadit si GDPR sami.
  2. Zdokumentujte, kdo a odkud má přístup do systému a do firemního PC.
  3. Nikdy neopouštějte počítač, aniž byste ho uzamkli, svá uživatelská jména a hesla za žádnou cenu nikomu nesdělujte.
  4. Pokud máte další dotazy týkající se GDPR, existuje řada webových poraden a blogů, kam se lze obrátit např. https://www.gdpr.cz/gdpr

 

Facebooktwitterlinkedinmail