Pražákova 1008/69, 639 00 Brno
SK
CS

Co přinese nový zákon o ochraně osobních údajů

KATEGORIE

GDPR - obrázek na blog

Nový zákon o ochraně osobních údajů

Od 25.5 2018 vstoupí v platnost nový zákon o ochraně osobních údajů, který bude zohledňovat požadavky nařízení Evropského parlamentu a Rady EU, jinak nazvaný i GDPR (General Data Protection Regulation). Přináší velké změny a podnikatele čekají nové povinnosti, za které v případě neplnění hrozí likvidační pokuty.

 

Koho se nový zákon bude týkat:

  • Všichni podnikatelé, kteří zpracovávají osobní údaje (osobní údaje zaměstnanců nebo zákazníků)
  • Zprostředkovatelé, kteří zpracovávají osobní údaje jiných organizací (účetní, právníci, informatici, reklamní agentury…)

 

Co spadá do pojmu osobní údaj:

Osobní údaj je informace, která přímo nebo nepřímo identifikuje konkrétní fyzickou osobu (např. Jméno a příjmení, rodné číslo, číslo občanského průkazu nebo pasu). Co se týče emailu nebo telefonního čísla je to složitější. Záleží, zda se dá přímo spojit s konkrétní osobou (obecné telefonní čísla do organizací nebo obecné emaily do kategorie osobních údajů nespadají). Další typy osobních údajů::

  • fotografie,
  • otlaček prstu, případně jiné biometrické údaje,
  • hlas,
  • číslo účtu,
  • lokalizační údaje.

 

10 hlavních změn v novém zákoně o ochraně osobních údajů:

 

Oznamovací povinnost porušení ochrany osobních údajů:

Porušení osobních údajů podle GDPR znamená porušení bezpečnosti, která vede k náhodnému či protiprávnímu zničení, ztrátě, změně, neoprávněnému sdělení osobních údajů, které se přenášejí, uchovávají nebo jinak zpracovávají, nebo neoprávněný přístup k nim. Tento incident je třeba nahlásit do 72 hodin od zjištění úřadu na ochranu osobních údajů ČR.

Je možnost vyhnout se informování dotčených jednotlivců zavedením vhodných bezpečnostních opatření.

 

Odpovědná osoba

V případě, že organizace nemá určenou odpovědnou osobu, má povinnost informovat Úřad pro ochranu osobních údajů ČR o systémech obsahující osobní údaje (např. newsletter).

Organizace si mohou zajistit odpovědnou osobu i prostřednictvím právnické osoby. Tím se organizace částečně vyhne byrokracií.

Odpovědnou osobu musí mít následující instituce:

  • Orgány veřejné moci nebo veřejnoprávní subjekty za předpokladu, že provádějí zpracovávání osobních údajů.
  • Firmy, jejichž hlavní činností jsou zpracovatelské operace, vyžadující pravidelné a systematické sledování dotčených osob ve velkém rozsahu.
  • Firmy, zpracovávající zvláštní kategorie údajů jako biometrické údaje, údaje o původu, náboženství, orientaci apod., Ve velkém rozsahu nebo zpracovává osobní údaje týkající se uznání viny za trestné činy a přestupky.

Zvýšení pokut

Maximální výše pokuty bude 20 milionů eur, případně 4% celosvětového firemního obratu z předchozího roku, podle toho, která pokuta je vyšší. Kromě finanční pokuty může být nařízeno i výmaz osobních údajů, zákaz zpracování, oznámení porušení ochrany osobních údajů dotčené osobě nebo pozastavení toku dat příjemci ve třetí zemi.

 
Přísnější požadavky na udělení souhlasu při zpracování osobních údajů.

Souhlas musí být poskytnut jasným projevem vůle, s jednoznačným vyjádřením souhlasu dotčené osoby se zpracováním osobních údajů. Tento souhlas je nutné vědět prokázat v případě potřeby.

 
Uživatel má právo na vymazání (právo být zapomenut)

V případě, že uživatel požádá o vymazání svých údajů, musí poskytovatel posoudit, zda je jeho požadavek vhodný (např. pokud byly získány nezákonně, údaje se nepoužívají na správný účel, nebyl poskytnut rodičovský souhlas). Pokud je požadavek vhodný má poskytovatel měsíc na vymazání údajů (ve složitých případech 3 měsíce). Kromě toho musí poskytovatel informovat i jiné zpracovatele, kteří tyto údaje zpracovávají. V případě pokud by se jednalo o velmi finančně a technicky náročný proces, nemusí se tomuto požadavku vyhovět.

 
Soukromí jako standard

Ochrana soukromí musí být komplexně zvažována už při návrhu nových projektů. Provozovatel musí určit vhodná technická a organizační opatření pro každou formu zpracování. Všechny nové projekty z hlediska IT by měly být šifrované, měli by se vytvářet pravidelné zálohy a hlavně by se mělo předem určit, které informace jsou nezbytné a které ne.

 
Přenositelnost údajů

Uživatel bude moci požádat o přenos dat od svého původního provozovatele k novému. Původní provozovatel bude muset jeho žádosti vyhovět a přenést údaje v co nejkratší době (maximálně 1 měsíc) a bezplatně (jedná se například o přesun emailů od jednoho provozovatele k druhému). Žádost ale musí být přiměřená a opodstatněná. Transfer musí být samozřejmě zajištěn, jinak hrozí únik dat, incident a pokuta.

 
Nové požadavky pro smlouvu se zprostředkovatelem

Pro zprostředkovatele (např. účetní, právníci) přibude nová povinnost přepracovat smlouvy, tak aby zahrnovaly:

  • že jsou implementovány přiměřená bezpečnostní opatření na ochranu osobních údajů
  • že v případě subdodávek zůstává zprostředkovatel odpovědný za ochranu údajů
  • závazek, že v případě ukončení spolupráce všechny osobní údaje vymaže nebo vrátí uživateli
  • závazek, že poskytne provozovateli veškeré informace o plnění povinností GDPR a umožní provedení případného auditu.

Je doporučeno, aby zprostředkovatelé nasadili šifrování, antivirovou ochranu a aby používali zabezpečenou komunikaci.

 
Pravidlo „one-stop-shop“

Pravidlo, které se týká poskytovatelů, kteří fungují ve více státech. GDPR určuje, kdo řeší dozor nad danou společností - vedoucí dozorčí orgány a vedoucí orgány. Vedoucí dohlížitel v Česku je Úřad pro ochranu osobních údajů ČR.

 
Mezinárodní přenosy dat

GDPR zásadně nemění byrokracii, která je spojena s přenosem osobních údajů mimo území Evropské unie. Podle cílové země kam osobní údaje putují bude nutné podepisovat různé vícestránkový smlouvy a dohody.

 

Následující článek: 

"Jaké jsou možnosti společností splnit požadavky GDPR?"

 

ZDROJE:

www.eset.sk

Nařízení Evropského parlamentu a rady (EÚ) 2016/679

Podobné články

Jaký je rozdíl mezi ISO/IEC 27001 a ISO/IEC 27002

Jaký je rozdíl mezi ISO/IEC 27001 a ISO/IEC 27002

KATEGORIE

Rok 2022 bude pro rodinu norem řady ISO/IEC 27000 klíčový. V únoru vyšla revidovaná norma ISO/IEC 27002:2022 a ISO 27001 ji bude následovat. Jaký je ale rozdíl mezi těmito dvěma normami? Nač jsou zaměřeny a proč by je měly organizace znát?

Zobrazit víc
Jak změny normy ISO/IEC 27002:2022 ovlivní organizace, které mají zavedené ISO/IEC 27001:2013?

Jak změny normy ISO/IEC 27002:2022 ovlivní organizace, které mají zavedené ISO/IEC 27001:2013?

KATEGORIE

V článku se dočtete jak se dotkla revize ISO/IEC 27002:2022 normy ISO/IEC 27001. Jaké nastaly hlavní změny a co čeká organizace, které mají zavedenou normu ISO/IEC 27001 nebo plánují zavedení této normy.

Zobrazit víc
Co můžeme očekávat od nové revize ISO/IEC 27001 a ISO/IEC 27002?

Co můžeme očekávat od nové revize ISO/IEC 27001 a ISO/IEC 27002?

KATEGORIE

V současnosti probíhá proces revize ISO/IEC 27001 a ISO/IEC 27002 (aktuální verze byla publikována v roce 2013). Organizace, které se zaměřují na systematický přístup k řízení informační bezpečnosti, už jistě zaregistrovali tuto novinku. ISO / IEC 27002 je opět navržena tak, aby poskytovala rámec pro řízení bezpečnosti informací (podobně jako například: NIST CSF).

Zobrazit víc
Co je to OEE a proč je důležité?

Co je to OEE a proč je důležité?

KATEGORIE

S rostoucí konkurencí na trhu musí výrobci zvyšovat produktivitu výroby kvalitních výrobků. V dnešní ekonomice se od vás očekává, že budete neustále zlepšovat návratnost celkového kapitálu. Protože je obtížné získat kapitál na výstavbu nových, účinnějších závodů a nákup nových zařízení, často musíte splnit rostoucí výrobní požadavky se současným vybavením a zařízením a současně vedle toho ještě snižovat výdaje.

Zobrazit víc

Newsletter