Posts Tagged ‘GDPR’

Zabezpečení elektronických dokumentů s osobními údaji

Pátek, Listopad 2nd, 2018

Osobní údaje v počítačích a ostatních elektronických zařízeních musí být zabezpečeny tak, aby byl k těmto datům znemožněn přístup neoprávněným osobám.

 

Přístup k osobním údajům v počítači může mít vždy pouze pracovník pověřený s danými údaji pracovat. Přístup k údajům by měl být zabezpečen na základě správně zvoleného hesla. U velkých a složitých systémů je nutné zajistit elektronické záznamy, které umožní ověřit, kdo a kdy data s osobními údaji užíval.

Zabezpečení dat s osobními údaji musí být zajištěno i při jejich převážení. Např. nenechávat počítače či datové nosiče bez dozoru v autě.

Osobní údaje je nutné chránit i při jejich zasílání elektronickou poštou. Doporučuje se soubory s větším množstvím dat s osobními údaji nebo s citlivými osobními údaji zasílat šifrované.

Posílání prostých e-mailů používaných v běžné komunikaci s obchodním partnerem není dle vyjádření ÚOOÚ porušením zákona.

Pokud si nevíte rady s řešením ochrany osobních údajů dle nařízení GDPR ve vaší firmě, poraďte se ve společnosti ANERI s.r.o. v Liberci.

http://dataosobni.cz/2018/10/19/zabezpeceni-elektronickych-dokumentu-s-osobnimi-udaji/

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

Vyžadování souhlasu se zpracováním osobních údajů

Čtvrtek, Září 27th, 2018

Mnozí správci osobních údajů požadují souhlas se zpracováním osobních údajů i v případě, kdy tento souhlas vůbec nepotřebují.

 

Špatné pochopení či nedbalé prostudování obecného nařízení o ochraně osobních údajů (GDPR) vede k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů. Mnozí správci a zpracovatelé požadují po svých zaměstnancích či klientech souhlas se zpracováním osobních údajů, přestože k tomuto zpracování mají jiný právní důvod. Právním důvodem je zpracování na základě zákona, smlouvy a dalších právních důvodů. V těchto případech je žádost o souhlas se zpracováním osobních údajů nejen zbytečná, ale může být pro subjekt údajů také obtěžující a je v rozporu s obecným nařízením. Zejména kvůli zbytečně vyžadovaným souhlasům se zpracováním osobních se plní e-mailové schránky lidí.

I v případě souhlasu se zpracováním osobních údajů musí správce i zpracovatel dodržovat veškerá stanovená pravidla. Osobní údaje lze i v tomto případě zpracovávat pouze za účelem, pro který byl souhlas udělen. V žádném případě není možné se souhlasy obchodovat.

Přesně porozumět textu obecného nařízení o ochraně osobních údajů (GDPR) může být pro lajka složité. Menším a středním firmám a organizacím se určitě vyplatí využít zkušeností odborných firem nabízejících pomoc při zavádění GDPR. Jednou z takovýchto firem je společnost ANERI s.r.o. z Liberce. Odborně proškolení a certifikovaní pracovníci společnosti ANERI pomohou se zavedením potřebných opatření a zajistí průběžnou kontrolu plnění nařízení GDPR.

http://dataosobni.cz/2018/09/20/vyzadovani-souhlasu-se-zpracovanim-osobnich-udaju/

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

Každá firma zpracovávající osobní údaje by měla mít interní směrnice pro GDPR

Pátek, Srpen 31st, 2018

Pokud hledáte na internetu vzorové interní směrnice pro GDPR, těžko najdete takovou, která bude odpovídat přesně vašim potřebám. Každá firma je jiná a jinak nakládá s osobními údaji.

 

Základem je udělat si jasno (nejlépe sepsat), jaká data jsou shromažďována, jak jsou chráněna a kdo k nim má přístup a kdo odpovídá za veškeré související procesy. Až budete směrnici sepisovat, nezapomeňte uvést: Podle jakého zákona (nařízení) je tvořena, od kdy je směrnice platná, jak se nakládá s daty s osobními údaji ve vaší firmě (jak jsou data pořizována, zpracovávána a ukládána). Důležité je uvést způsob ochrany a zabezpečení dat jak elektronických, tak tištěných. Směrnice by také měla obsahovat zásady bezpečnostních principů pro práci s daty. Určitě nesmíte zapomenout určit odpovědné osoby, osoby, které s daty nakládají a zpracovávají je včetně osob i firem externích, které na základě smlouvy pro vás data s osobními údaji zpracovávají. Každá směrnice také musí obsahovat ustanovení, kdo směrnici vydává a schvaluje.

Je pochopitelné, že pro mnohé menší a středně velké firmy je časově náročné podrobně studovat veškeré náležitosti související s GDPR. Takovýmto firmám se určitě vyplatí poradit se s odborníky a vyřešit otázku GDPR bez zbytečných starostí. Mezi společnosti, které nabízej pomoc nejen s vytvořením vnitrofiremních směrnic, ale i s kompletním zavedením GDPR ve firmách patří společnost ANERI s.r.o. z Liberce.

http://dataosobni.cz/reseni/

http://dataosobni.cz/nase-sluzby/

http://dataosobni.cz/2018/08/16/kazda-firma-zpracovavajici-osobni-udaje-by-mela-mit-interni-smernice-pro-gdpr/

Jak získat e-mail na zasílání newsletterů podle GDPR?

Úterý, Červenec 31st, 2018

Abychom mohli zasílat prostřednictvím e-mailu newslettery, potřebujeme mít právní důvod ke zpracování e-mailu jako osobního údaje.

 

Jestliže zasíláme newsletter našemu zákazníkovi, se kterým máme obchodní vztah, a nabízíme mu související produkty, jedná se o zákonný důvod k zasílání newsletterů. Pokud ale jiný zákonný důvod nemáme, musíme mít souhlas.

Je důležité si uvědomit, že souhlas musí být dobrovolný a musí obsahovat informace, které osobní údaje jsou shromažďovány, kdo je zpracovává a za jakým účelem a po jak dlouhou dobu. Subjekt údajů (člověk, jehož osobní údaje jsou zpracovávány) musí být také informován o svých právech.

Dobrovolný souhlas znamená, že poskytnutí služby nesmí být podmíněno souhlasem se zasíláním newsletterů. Stejně platí, že za neposkytnutí souhlasu nesmí být subjekt údajů trestán. Ale platí, že za poskytnutí souhlasu může být subjekt údajů odměněn. Právě toho lze v marketingové praxi využít. Například: nabízím e-book za peníze, ale při poskytnutí e-mailu pro zasílání newsletterů je e-book zdarma. Nebo: nabízím slevu na příští nákup, pokud bude poskytnut e-mail pro zasílání newsletterů. Způsobů, jak získat dobrovolný souhlas za odměnu, je určitě mnoho. Pozor ale na tenkou hranici mezi odměnou a podmíněním souhlasu.

Pokud si nevíte rady, jakým způsobem získat souhlas k zasílání newsletterů, poraďte ve společnosti ANERI s.r.o. Marketingoví odborníci agentury ANERI jsou proškoleni v otázkách GDPR, a tak i vám určitě pomohou najít zákonný způsob, jak získat souhlas k zasílání newsletterů.

http://dataosobni.cz/povinnosti/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/2018/07/18/jak-ziskat-e-mail-na-zasilani-newsletteru-podle-gdpr/

Jak je to s osobními údaji vedenými ve veřejných rejstřících přístupných na internetu?

Pátek, Červen 29th, 2018

Na internetu lze v dostupných veřejných rejstřících najít řadu osobních údajů. Každé zpracování osobních údajů však musí mít podle nařízení GDPR určitý právní základ. Osobní údaje uvedené na internetu například v obchodním rejstříku nebo v katastru nemovitostí jsou zveřejněné ze zákonných důvodů – plnění právní povinnosti.

Zákonem stanovená veřejnost určitého rejstříku však neznamená, že v takovémto rejstříku zveřejněné osobní údaje lze dále neomezeně zpracovávat či distribuovat.

Pro každé zpracování osobních údajů musí mít správce podle nařízení GDPR určitý právní důvod. S osobními údaji povinně zveřejněnými ve veřejně přístupných rejstřících nelze jen tak nakládat. Veřejnost osobních údajů sama o sobě totiž neznamená možnost jejich dalšího neomezeného zpracovávání.

Problematika GDPR je velmi obsáhlá a implementace všech nových nařízení do firemních pravidel je pro řadu firem složitý proces. V případě nejasností se určitě vyplatí poradit s odborníky.

http://dataosobni.cz/reseni/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/2018/06/26/jak-je-to-s-osobnimi-udaji-vedenymi-ve-verejnych-rejstricich-pristupnych-na-internetu/

Rozesílání newsletterů a GDPR

Pátek, Červen 1st, 2018

Tak jako pro všechna zpracování osobních údajů je potřeba mít pro zpracování osobních údajů nějaké zákonné oprávnění, je takovéto zákonné oprávnění nutné i při zpracování osobních údajů za účelem hromadného rozesílání newsletterů prostřednictvím e-mailů.

 

Oprávněný důvod pro zasílání obchodních sdělení je v případě, že jsou zákazníkovi, který již nakoupil nějaké zboží či služby, nabízeny doplňkové služby či výrobky související s předcházející transakcí a lze předpokládat, že zákazník může takovouto komunikace očekávat. V ostatních případech je pro zasílání newsletterů potřeba nejprve souhlas subjektu údajů za účelem zpracování jeho osobních údajů pro tyto účely.

Aby byl udělený souhlas platný, musí splňovat podmínky, které GDPR stanovuje. Souhlas musí být výslovný, prokazatelný, informovaný a nesmí být ničím podmíněný. Žádost o takovýto souhlas musí být srozumitelný a musí obsahovat popis účelu zpracování, způsob zpracování a informací, kdo a po jakou dobu osobní údaje zpracovává a jak jsou tyto údaje chráněny. Každý subjekt údajů musí být ještě informován o svých právech, zejména pak že souhlas lze kdykoliv odvolat a jakým způsobem.

http://dataosobni.cz/2018/05/28/rozesilani-newsletteru-a-gdpr/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/povinnosti/

Proč je nová GDPR směrnice potřeba?

Středa, Květen 9th, 2018

Současná legislativa řídící ochranu osobních údajů je zastaralá. Nezná sociální sítě ani moderní technologie. Kdysi lidé nemohli vědět, v jak obrovském formátu se v budoucnosti bude pracovat s daty, a proto je potřeba vše zmodernizovat. Přesto ani GDPR nebude úplně aktuální. Nařízení se chystá už nějakou dobu a za současnými technologiemi bude o pár let zaostávat – nepočítá například s IoT (Internetem věcí). Oproti momentálním pravidlům se však jedná o velký pokrok, které nová tzv. “GDPR směrnice” přinese.

Co se vlastně díky GDPR nařízení změní?

Lidé získají díky GDPR nařízení nová práva. Budou moci po správcích údajů vyžadovat vymazání dat, je potřeba jim umožnit přístup ke shromažďovaným údajům, vznést námitku proti zpracování apod. Za osobní údaje jsou přitom chápány nejen rodná čísla, jména apod., ale také IP adresy, cookies, e-maily, genetické i biometrické údaje a vše, co je s nimi propojeno. Státní instituce a větší firmy (orgány veřejné moci, společnosti, jejichž hlavní činností je zpracování informací) budou muset mít svého pověřence pro ochranu osobních údajů (DPO z anglického Data Protection Officer). Ten bude napomáhat s realizací všech postupů a také kontrolovat, zda vše probíhá tak, jak by mělo. Velkou změnou je rovněž oznamovací povinnost. Pokud bude narušena bezpečnost, bude subjekt muset tento únik či ohrožení do 72 hodin ohlásit Úřadu pro ochranu osobních údajů. V určitých situací budou informovány i subjekty, o jejichž údaje se jednalo. EU si od toho slibuje, že se vyhneme případům, kdy se lidé o úniku jejich osobních dat dozvídali až po několika letech.

Jak se ke GDPR jako firma postavit?

Nejdůležitější je detailně se informovat, co je GDPR a co pro vás vlastně znamená. Pravděpodobně si pak najmete odborníka, který vám se vším pomůže, nicméně je dobré mít aspoň trochu tušení, o čem se mluví. Je možné, že se vás nařízení třeba ani týkat nebude. Odvíjí se to od činnosti i velikosti společnosti. Opět je dobré obrátit se na profesionály a nechat je, ať vaši situaci zhodnotí. Podcenit GDPR nařízení se nevyplácí, sankce nejsou zrovna nízké. V případě porušení může pokuta dosáhnout až 20 000 000 eur nebo 4 % z ročního obratu (vyšší z těchto možností). Závisí ovšem na spoustě faktorů, takže se nebojte, že by pro vás nějaká drobná chyba v implementaci nařízení byla likvidační.

Je potřeba mít z GDPR strach?

Rozhodně ne. GDPR je nařízení jako každé jiné, s nímž se bez problémů vyrovnáte. Nebude vás stát spoustu peněz ani úsilí. Vyhledejte si na internetu informace, navštivte nějaké školení či konferenci, kde se o problému mluví, a vyhledejte odbornou pomoc. Začněte třeba tím, že si přečtete český text GDPR směrnice i s komentářem zde: https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/.

Pokud se příliš neorientujete v oblasti práva, je dost možné, že ani po přečtení celého nařízení nebudete o moc moudřejší. Mějte ale na paměti, že nejste jediní, kdo musí řešit GDPR. Lidí jako vy je jenom v České republice spousta. A také je tady dost takových, kteří vám pomohou. Nechte si zpracovat GDPR audit, získejte certifikaci a ukažte, že splňujete veškeré požadavky. Pravděpodobně na to uslyší i zákazníci, hlavně pokud se jedná o významnější osoby či firmy. Všichni budou chtít, aby jejich údaje byly v bezpečí.

Odpovědnost správce osobních údajů dle GDPR

Středa, Květen 2nd, 2018

Nové nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním a shromažďováním osobních údajů neboli GDPR přináší řadu změn zejména pro správce osobních údajů.

 

Správcem osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí jejich shromažďování, zpracování a uchování. Pro zpracování osobních údajů musí mít správce právní důvod.

Správce je odpovědný za zabezpečení, správu a veškeré zpracování osobních údajů. Mezi základní povinnosti správce patří zavedení vhodných technických a organizačních opatření, aby zajistil a byl schopen doložit soulad s GDPR. Tato opatření musí revidovat a aktualizovat.

Správce je povinen nahlásit porušení zabezpečení osobních údajů na ÚOOÚ do 72 hodin od okamžiku, kdy se o tom dozví v případě, že incident bude mít za následek riziko pro subjekty údajů.

Na základě principu odpovědnosti musí být správce schopen doložit, že dodržuje zásady pro zpracování osobních údajů po celou dobu trvání zpracování a že zpracovává pouze ty údaje, které jsou nutné pro daný účel zpracování.

http://dataosobni.cz/2018/04/26/odpovednost-spravce-osobnich-udaju-dle-gdpr/

http://dataosobni.cz/zakladni-pojmy/

http://dataosobni.cz/povinnosti/

GDPR nařízení se rychle blíží!

Neděle, Duben 29th, 2018

Již v květnu 2018 začne platit nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – zkráceně GDPR nařízení, česky potom ONOOÚ. Tato směrnice přináší nová práva a povinnosti při práci s daty o občanech EU. Je to tím pádem žhavé téma, které se týká velkého množství subjektů – téměř všech podnikatelů, firem a organizací, včetně veřejného sektoru. Seriozní organizace musí mít do května 2018 hotovou implementaci GDPR a ideálně i nezávislý GDPR audit.

Jak se GDPR dotýká firem?

Poměrně zásadním způsobem. Ve společnostech by měl být jmenován tzv. pověřenec dohlížející na ochranu osobních údajů. To však není jediná povinnost. Důležité je také zavedení nejrůznějších kodexů souvisejících s touto tématikou, včetně nových procesů a systémů. GDPR nařízení je zkrátka nevyhnutelnou zátěží, kterou musí pod pohrůžkou poměrně vysoké finanční sankce dodržovat skutečně každý. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.

Nařízení GDPR česky a s komentářem

Asociace za lepší ICT řešení připravila pro všechny firmy a podnikatele on-line verzi nového zákona o ochraně osobních údajů GDPR česky, včetně komentářů, návodů a vodítek regulátora. Protože se jedná o celoevropské nařízení, je znění GDPR zákona finální a závazné i v České republice. Některé aspekty, např. věkovou hranici dětí či úlevy pro malé podnikatele, může v mezích GDPR nařízení ještě upřesnit český Úřad na ochranu osobních údajů. Asociace na webu www.lepsi-reseni.cz průběžně aktualizuje přehled komentářů ÚOOU a seznam dodavatelů informačních systémů, kteří jsou schopni pomoci se zavedením nových požadavků na ochranu a zpřístupnění osobních údajů.

Děsí vás GDPR?

Pátek, Duben 13th, 2018

GDPR, General Data Protection Regulation nebo také česky Obecné nařízení o ochraně osobních údajů (GDPR směrnice). To je v posledních měsících největší strašák českých majitelů e-shopů a marketérů, kteří ve velkém operují s osobními údaji. Všichni se tohoto nařízení bojí, málokdo má ale přesnější představu, o co vlastně jde. Když proniknete do jeho tajů, zjistíte, že se opravdu není čeho obávat. GDPR směrnice je nová legislativa EU, která byla schválena už v dubnu roku 2016. Nějaký čas se o ní ovšem vůbec nemluvilo, všichni ji brali jako jakési nařízení, které jednoho dne vejde v platnost. Teď se ale ta doba blíží, v účinnost vstoupí 25. května 2018, a proto je nejvyšší čas začít se zajímat, koho se GDPR nařízení týká a co pro nás vlastně znamená.

Co je GDPR?

Jak napovídá název „Obecné nařízení o ochraně osobních údajů“ si klade za cíl zlepšit nakládání s osobními údaji a od zákazníků bude třeba mít tzv. GDPR souhlas s nakládáním jejich údajů. Bude se tedy týkat každého, kdo nějakým způsobem zpracovává či shromažďuje osobní informace Evropanů, a to ať jde o evropskou instituci či společnost mimo EU působící na našem trhu. Podřídit se mu musí veřejná správa, zdravotnictví, bankovní instituce, ale třeba i e-shopy. A právě drobní podnikatelé a provozovatelé e-shopů mají největší strach z toho, že je bude implementace nařízení stát spoustu peněz a času.

Co se díky GDPR změní?

Ačkoliv zní GDPR děsivě, spousta jeho mechanismů už v ČR dávno funguje podle stávajících zákonů. Novinkou jsou zejména práva subjektů údajů (tj. lidí, o nichž jsou údaje uchovávány) – musí být detailně informováni o tom, co se s jejich informacemi děje, a mohou požádat o jejich odstranění. Také budete mít přístup ke všem údajům, kdykoliv bude možné podívat se, co o vás jaká firma ví.

Za osobní údaje přitom nelze považovat pouze adresu, rodné číslo, národnost, náboženství aj., ale rovněž moderní parametry jako e-mail, IP adresa či cookie. Přísnému režimu budou podléhat i genetické a biometrické údaje. Chcete-li se dozvědět více, podívejte se na přesné znění GDPR směrnice zde.

Firmy budou mít povinnost ohlásit jakékoliv narušení bezpečnosti údajů Úřadu pro ochranu osobních údajů, a to do 72 hodin od zjištění. V některých situacích budou muset být informováni i majitelé odcizených dat. Zabráníte se tím případům, kdy jsme se o únicích dat dozvídali po několika letech. A to je jeden z mnoha důvodů, proč GDPR směrnice vůbec vznikla.