GDPR (ochrana osobních údajů)

Top  Previous  Next

Seznam témat:

popis funkce

 

 

 

Co je GDPR:
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, zkratka GDPR), plným názvem Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), je nařízení Evropské unie, jehož cílem je výrazné zvýšení ochrany osobních dat občanů. V Úředním věstníku Evropské unie bylo vyhlášeno dne 27. dubna 2016.[1]

 

V květnu 2016 bylo zveřejněno nařízení Evropského parlamentu a Rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

V dokumentu byly i informace o zdrojích informací a připravovaných změnách ve Vision ERP.

Od roku 2000 upravuje zpracování osobních údajů v České republice zákon č. 101/2000 Sb., o ochraně osobních údajů, který vychází ze směrnice 95/46/ES. Každá organizace by již tedy měla zpracovávat osobní údaje podle tohoto zákona (zákon však má daleko nižší vymahatelnost). Za revoluci bychom mohli označit přímou použitelnost obecného nařízení. Nově vymezeny práva subjektů osobních údajů.

 

ERP VISION automatizuje a pomáhá v problematice GDPR
Společnosti Vision, Vision Praha a jejich pracovníci nejsou správci, společnými správci ani zpracovateli ve smyslu GDPR. Zákazník neurčuje žádný účel ani prostředky zpracování. Práce s osobními daty je vedlejší a neúčelová. S obsahem dat je nakládáno jako s celkem bez konkrétního zaměření na jednotlivá data s charakterem osobního údaje.

Základní informace

Co jsou osobní data – vymezení a klasifikace

Základní znak: Znemožňuje či snižuje možnost záměny jedné osoby s jinou. Nemusí být patrná souvislost s konkrétní osobou, ale ve spojení s dalšími údaji vede k určité osobě.
Obecné osobní údaje: Jméno a příjmení, věk a datum narození, pohlaví, osobní stav, občanství, IP adresa, fotografie nebo jiný obrazový materiál, finanční údaje (čísla kreditních karet, bankovních účtů apod.).
Organizační osobní údaje: Pracovní a osobní e-mailová adresa, pracovní nebo osobní mobilní telefon, pracovní a osobní adresa, číslo pasu a občanského průkazu, rodné číslo či jiné ověřovací a identifikační údaje.
Citlivé osobní údaje: Rasa či etnický původ, náboženské, politické či filozofické vyznání, členství v odborech, sexuální orientace, zdravotní stav, trestní delikty či pravomocné odsouzení, genetické údaje (krevní rozbory, DNA profil, rentgenové snímky, důvěrné lékařské zprávy atd.), biometrické údaje (podpis, daktyloskopické údaje, snímky obličeje či jiných částí těla, hlasové záznamy apod.).
Označení kdy se jedná o děti a souhlas zákonného zástupce.
Označování dokumentů – citlivé, důvěrné – zahrnutí do směrnic.

 

 

Správce – Zpracovatel – Společný správce - Pověřenec

Správce odpovídá za dodržování povinností z obecného nařízení, dodržování zásad zpracování, správce musí být schopen doložit. Existence řádného právního důvodu zpracování osobních údajů-musí jím disponovat, jinak osobní údaje zpracovávat nesmí. Osobní údaje dostatečně zabezpečit.
Zpracovatel: Výběr – dostatečné záruky zpracování dle nařízení, zpracovatelská smlouva - doložitelnost.
Společní správci mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností podle nařízení.
Pověřenec: Kdy správce musí jmenovat pověřence – veřejný subjekt, pravidelné systematické monitorování subjektů, zvláštní kategorie údajů.

 

 

Zásady GDPR

Zákonnost, korektnost, transparentnost. Vyplývá z toho zvláště: Informační povinnost (k zaměstnancům, zákazníkům, těch kdo Vám uděluje souhlas), existence právního titulu, právo na námitku, povinnost subjekt informovat o právech, odvolatelnosti souhlasu, jak a kde podat stížnost. Postupy stanovit směrnicí, vytvořit formuláře – výpis dat na žádost, souhlasy.
Účelové omezení. K jakému účelu jsou osobní data evidovaná, právo přenos osobních dat (i s účelem).
Minimalizace údajů – nezbytný rozsah. Čím méně údajů, tím méně práce. Zvážit zda je nutné zpracovávat – zvláště citlivá data (DPIA-posouzení vlivu, …. Ověřit správnost zpracovávaných dat. Právo subjektů na opravu – oprava napříč celého podniku + zpracovatelé. Zpracovávat jen po nezbytnou dobu.
Přesnost – aktualizace osobních dat – oprava, výmaz.
Omezení uložení – nezpracovávat déle než je nezbytné pro účel zpracování.
Integrita a důvěrnost – zabezpečení před neoprávněným zpracováním a ztrátou.
Odpovědnost – za dodržení zásad, schopnost doložit.

 

 

Další nové povinnosti

Přístup založený na riziku:

správce již od počátku koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit i zabezpečení osobních údajů (už i současný zákon).
Aplikace dodatečných povinností pro některé správce, kdy zpracování osobních údajů či porušení zabezpečení (bezpečnostní incident) představuje riziko či vysoké riziko pro práva a svobody (DPI – posouzení vlivu).
Povinné oznámení incidentů.
Likvidační pokuty.
Záznamy o činnostech zpracování – náhrada oznamovací povinnosti.
Jmenování pověřence pro ochranu osobních údajů.
Posouzení vlivu na ochranu osobních údajů.
Předchozí konzultace s dozorovým úřadem.

 

 

Nařízení stanoví nová práva subjektů osobních údajů. Ta jsou mnohdy založená na aktivitě (žádosti) subjektu údajů:

právo na přístup k osobním údajům - i když nebyly získány od subjektu,
právo na opravu, resp. doplnění,
právo na výmaz,
právo na omezení zpracování,
právo na přenositelnost údajů,
právo vznést námitku,
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

 

 

Právními důvody zpracování osobních údajů

 

Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.

Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

 

Související témata

GDPR ve Vision ERP

Aktualizace na verzi GDPR

Konverze dat

Integrita, dostupnost a odolnosti databáze a IS Vision ERP

Sloučení kontaktů