MENU Zavřít

Na GDPR budeme připraveni

  • 3. 8. 2017

GDPR je zkratka, které se jako ekonom, marketér, IT specialita nebo manažer nevyhnete. Označuje General Data Protection Regulation, tedy Obecné nařízení o ochraně osobních údajů.

GDPR se zdá být jako revoluční novinka, která vstupuje do evropského práva a začne v celé EU platit jednotně od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.

Tato norma, podle které se řídí Úřad pro ochranu osobních údajů (ÚOOÚ), není zdaleka bezzubá. Příkladem může být květnová pokuta pro společnost EURYDIKAPOL za šíření nevyžádaných obchodních sdělení, která dosáhla rekordní výše 4,25 milionu korun. „K této prozatím nejvyšší částce dospěl úřad na základě zhodnocení podaných stížností, jichž obdržel okolo 700. Tato nevyžádaná obchodní sdělení byla zasílána opakovaně po dobu téměř jednoho roku,“ sdělila předsedkyně ÚOOÚ Ivana Janů.

I když tedy ochrana osobních dat u nás letos slaví čtvrtstoletí a sankce mohou být citelné, díky své komplexnosti, evropské platnosti i postihům zajišťuje GDPR vyšší standard. Pozitiva, která toto nařízení přináší zaměstnancům a klientům – fyzickým osobám, však způsobují těžkou hlavu členům managementu firem. A nejsou to pouze ony zmiňované marketingové společnosti nebo call centra, ale také instituce, nemocnice a firmy všeho druhu. Pod hrozbou často likvidačních sankcí si musí každá společnost udělat inventuru v datech a do budoucna nastavit všechny svoje procesy tak, aby se maximálně předešlo jejich zneužití.

Nové pojmy

Zpracováním osobních dat se myslí jakákoliv operace s osobními údaji, která se provádí pomocí automatizovaných postupů (shromáždění, zaznamenání, uspořádání, uložení, přizpůsobení, vyhledávání, použití, zpřístupnění přenosem, šíření, seřazení, kombinování, výmaz atd.). Za tzv. subjekt údajů se považuje fyzická osoba, které se osobní údaje týkají. Správcem osobních údajů je pak subjekt, který rozhoduje o účelech a prostředcích zpracování (tedy například zaměstnavatel). Takzvaným zpracovatelem je subjekt, kterého si správce najímá, aby pro něj pracoval s osobními údaji (třeba externí účetní firma).

GDPR navíc zavádí několik nových povinností nad rámec současné úpravy o ochraně osobních dat. Jde zejména o posouzení vlivu na ochranu osobních údajů, povinnost evidovat záznamy o činnostech zpracování, předchozí konzultace, ohlašování případu porušení zabezpečení ÚOOÚ a také danému člověku či v některých případech ustavení pověřence pro ochranu osobních údajů.

Co je důležité vědět o GDPR

  • GDPR se netýká pouze velkých, nýbrž všech, kteří nakládají s osobními údaji. Není důležité, zda máte tisíc nebo jednoho zaměstnance.
  • Za osobní se považuje každý údaj, pomocí něhož lze identifikovat konkrétního člověka. Spadají sem e-mailové adresy, telefonní čísla, IP adresy, geolokační údaje, portrétní fotografie, kamerové záznamy atd.
  • Nařízení se týká EU, ale i třetích zemí, pokud zde probíhá zpracování dat, jež se vztahují k osobám v zemích EU. Tedy typicky v případě outsourcingu IT v Indii.
  • Správce i zpracovatel osobních údajů musí vést evidenci záznamů o nakládání s osobními údaji.
  • Osobní údaje lze zpracovávat pouze za předpokladu výslovného sdělení souhlasu dotyčné osoby, nebo pokud je zpracování dat důležité pro splnění smlouvy či právní povinnost (např. mzdová evidence), pro ochranu zájmů daného člověka (např. údaje o pacientovi, který nemůže dát souhlas) či pro splnění veřejného zájmu (např. obecní kamerový systém se záznamem).
  • Pokuty za porušení GDPR mohou dosáhnout 10 mil. eur nebo 2 % z celkového ročního obratu (v případě závažnějších porušení 20 mil. eur a 4 %).
  • Český zákon o ochraně osobních údajů bude většinově novým evropským nařízením nahrazen s účinností k 25. květnu 2018.
  • Paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, by bylo v rozporu s GDPR.
  • Dosavadní souhlas se zpracováním osobních údajů bude platný, pokud odpovídá dikci GDPR.
  • Podle GDPR není možné bez souhlasu přebírat údaje zveřejněné na internetu (ani v případě veřejných rejstříků, kdy musí subjekt údajů strpět jich publikování).

Text nařízení, ale také přibližně dvě desítky souvisejících dokumentů najdete na oficiálním webu www.eur-lex.eu. Veškerá legislativa a související soubory jsou v češtině, stačí jen do vyhledávače na stránkách zadat klíčový termín GDPR. Informace můžete čerpat také z webu ÚOOÚ.

Podnikové systémy budou připraveny

Kolem GDPR je dost diskusí, protože panuje i mnoho nejasností. Problém spočívá v tom, že chybí důležité výklady a stanoviska příslušných orgánů. Uživatelé informačních podnikových systémů by měli mít situaci jistější, protože dodavatel ERP zahrne změny už do systému a aktualizací. „Situace se každým týdnem vyjasňuje a my průběžně pracujeme na tom, aby zákazníci měli ve svém systému včas implementovány všechny potřebné funkcionality vztahující se k GDPR,“ říká Martin Kudrna, jednatel společnosti Byznys software, která má v ČR a SR více než 1100 instalací podnikového systému Byznys ERP.

Podobné
články

Novinky ze světa
podnikových procesů

  • Best practices od jiných firem
  • Rady a tipy našich odborníků
  • Přímo do vaší e-mailové schránky
  • Best practices od jiných firem
  • Rady a tipy našich odborníků
  • Přímo do vaší e-mailové schránky

Systém Byznys vám přináší Seyfor