Tag Archive for GDPR audit

Kde vzít informace o GDPR?

Obecné nařízení o ochraně osobních údajů (GDPR z anglické zkratky General Data Protection Regulation) bylo Evropským parlamentem a Radou vyhlášeno už v dubnu 2016. Tehdy se to hodně řešilo, nicméně panika velmi rychle ustala. Všechny uklidnilo, že budou novinky účinné až od 25. května 2018. Jenže již máme po tomto datu. Už několik týdnů se novým zařízením musíme řídit. Víte vůbec, o co jde? Do doby než vstoupilo v platnost GDPR nařízení jste byli vázáni pouze českým Zákonem o ochraně osobních údajů. Ochrana osobních údajů GDPR je mu nadřízená.

Co musí firmy podle GDPR nařízení dělat?

Nejdříve si pořádně nastudovat, co jim GDPR ukládá za povinnosti. Jestliže se musí tomuto nařízení podřídit v plném rozsahu, nezbývá než zavést patřičný kodex, procesy a systémy. Firmy musí šifrovat či anonymizovat citlivá data, pracovat s údaji jako s celkem. Měly by být schopné zobrazit uživateli osobní údaje, které o něm uchovávají, na požádání je upravit nebo smazat.

GDPR nařízení lze pojmout i jako příležitost konečně zmodernizovat firemní informační systém, zvýšit bezpečnost a celkově vylepšit procesy práce s informacemi.

Kde vzít informace?

Celé znění GDPR nařízení je k dispozici česky, najdete ho různě na internetu. Po ČR také probíhají školení na toto téma, své služby nabízí i odborníci. Možnou cestou je rovněž GDPR certifikace, v rámci níž vám auditor pomůže doladit procesy, systémy i kodexy, aby odpovídaly GDPR směrnici. Takový certifikát může navíc u zákazníků a obchodních partnerů vybudovat dojem důvěry. Důležité je začít jednat. GDPR se vyhnout nelze a čím déle budete strkat hlavu do písku, tím bude pak příprava náročnější.

Více informací o GDPR nařízení najdete zde:
https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/

GDPR nařízení vstoupilo v platnost v roce 2018

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupilo v platnost už během května tohoto roku. Občanům EU přináší lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy GDPR však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné. Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.

Co jsou osobní údaje z hlediska GDPR nařízení?

Za osobní údaje se považují údaje, které lze přiřadit konkrétní osobě prostřednictvím: jména, bydliště, r.č. či data narození, čísla dokladů: OP, pas, ŘP, elektronických údajů (IP adresa, cookie, lokalizační údaje). Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě.

Správcem je subjekt, nerozhoduje jaké právní formy, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely např. pro své oprávněné zájmy, pokud tyto zájmy nepřevyšují zájem na ochraně základních práv a svobod fyzických osob.

Kde najdu kompletní znění GDPR nařízení v češtině?

Kompletní znění GDPR česky najdete i s vysvětlivkami na webu Asociace ICT. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či domácí e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracování osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační. Vzhledem k vysokým postihům za nedodržení směrnice GDPR nařízení doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.

Obecné nařízení o ochraně osobních údajů (GDPR)

General Data Proteciton Regulation, GDPR, či hezky česky Obecné nařízení na ochranu osobních údajů. Toto opatření přicházející z Evropského parlamentu a Rady začalo platit už v květnu tohoto roku, a jelikož EU hrozí vysokými pokutami, mnohé firmy z něj mají strach. Ty zodpovědnější už si dávno našly vlastního konzultanta, ale co má dělat zbytek? GDPR nařízením chce EU docílit toho, aby měli lidé větší kontrolu nad osobními údaji, které o nich uchovávají nejrůznější firmy. Stojíte-li v pozici fyzické osoby, můžete se tedy radovat. GDPR vám život neztíží, spíš naopak. Pakliže se ale musíte na situaci dívat ze strany firmy, začínáte možná být poněkud zoufalí. GDPR nařízení se blíží a většina lidí stále neví, jak se na něj připravit.

Nejste na GDPR sami

Máte pocit, že se v problematice GDPR ztrácíte a netušíte, kde začít? V žádném případě nový zákon nepodceňujte, protože za nedodržení hrozí skutečně vysoký postih. Můžete se však obrátit na někoho, kdo vám poskytne odbornou konzultaci, provede datový audit, audit kodexu ochrany osobních údajů, připraví vnitřní směrnice nebo realizuje kompletní GDPR audit. S veškerými problémy souvisejícími s nařízením GDPR vám pomohou odborníci z Asociace za lepší ICT řešení. V rámci neziskové organizace působí specialisté, kteří sdílí své zkušenosti s firmami a institucemi – společně se snaží o nalezení optimálního řešení.

Je tu on-line GDPR audit zdarma

Chcete-li se dozvědět, jak se na vaši firmu vztahují povinnosti související s evropskou GDPR směrnicí, využijte možnost bezplatného on-line auditu, který najdete na webových stránkách www.lepsi-reseni.cz. GDPR audit vám objasní vše, co byste měli ohledně ochrany osobních údajů vědět, a případně i možnosti, jak se některým povinnostem vyhnout. Stačí, když vyplníte formulář – výslednou zprávu obdržíte e-mailem. Zmíněný on-line GDPR audit je zdarma, ovšem můžete zvolit i druhou variantu – podrobnější rozbor s osobní účastí certifikovaného konzultanta a konkrétní návody na řešení ve vaší firmě. Dostanete detailní odpovědi a seznam kroků, které musíte učinit, abyste vyhověli všem zákonným požadavkům. Zároveň obdržíte doporučený kodex ochrany osobních údajů vhodný pro vaše podnikání a plán projektu implementace. Po dobu jednoho roku bude dostávat aktualizovaná doporučení dle případných změn legislativy či doporučení regulátora. Další výhodou GDPR auditu je výrazně rychlejší a levnější případná certifikace.

Jste připraveni na GDPR?

Prakticky každý z nás se někdy setkal s poskytnutím osobních údajů a často ani nevíme, jak je s tak citlivými daty nakládáno. Stejnou otázku si zřejmě pokládají také zaměstnanci společností a pracovníci firem. Přitom Evropská ochrana osobních údajů se týká právnických osob a podnikatelů a ukládá jim povinnost i přesné znění, jak s takovými daty pracovat bezpečně a v zájmu osob. S touto oblastí přichází mnoho otazníků, naštěstí existují informační systémy s potřebnou funkcionalitou a datová centra, která vám práci usnadní a zpracují audit, případně zajistí certifikaci GDPR.

Kdo by se měl vlastně o GDPR zajímat?

GDPR nařízení se vztahují na všechny firmy, jež nějakým způsobem zpracovávají osobní data. Může jít o informace o zaměstnancích, dodavatelích či klientech. Sami tedy logicky usoudíte, že se GDPR nařízení bude muset podřídit většina firem z různých sektorů. Výjimkou jsou podniky s méně než 250 zaměstnanci, pro ty některá zařízení platit nebudou. Tedy za předpokladu, že nezpracovávají velký objem dat a neprovádí s nimi rizikové činnosti. Kdo si není jistý, do jaké skupiny spadá, může požádat o GDPR audit. Odborníci mu pomohou zjistit, zda a v jaké formě se na něj nové nařízení vztahuje.

A když už mluvíme o těch osobních datech, nutno podotknout, že se jejich seznam podstatně rozšířil. Nařízení GDPR je moderní a zahrnuje například IP adresu, e-mailovou adresu či cookies.

Jak se vypořádat s přísnými nařízeními?

Jestliže jste ze všeho zmatení a nevíte přesně, jak se na GDPR připravit, můžeme vás uklidnit. Nejste jediní, přesně takhle se cítí většina firem. Nabízí se spousta různých řešení, včetně GDPR certifikace. Můžete si načíst informace online, vydat se na nějaký kurz, jichž se po celé ČR koná spousta, nebo si rovnou vyžádat GDPR audit. To je nezávislá prověrka, která zhodnotí vaši připravenost, pomůže doladit procesy, systémy i dokumentaci a nakonec vás ocení certifikátem, jenž udělá dojem na klienty a partnery. Hlavně vše začněte řešit s dostatečným předstihem, protože čas běží.

A na závěr pro vás máme ještě jednu pozitivní zprávu. GDPR nařízení se nevztahuje v plném znění úplně na všechny firmy zpracovávající osobní údaje. Záleží také na velikosti a tom, čím se zabýváte. Informujte se včas, co je vaší povinností.

Kolik stojí GDPR audit?

Již v květnu 2018 začne platit nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – zkráceně nařízení GDPR, česky potom ONOOÚ. Tato směrnice přináší nová práva a povinnosti při práci s daty o občanech EU. Je to tím pádem žhavé téma, které se týká velkého množství subjektů – téměř všech podnikatelů, firem a organizací, včetně veřejného sektoru. Seriozní organizace musí mít do května 2018 hotovou implementaci GDPR a ideálně i nezávislý GDPR audit.

Nařízení GDPR česky a s komentářem

Asociace za lepší ICT řešení připravila pro všechny firmy a podnikatele on-line verzi nového zákona o ochraně osobních údajů GDPR česky, včetně komentářů, návodů a vodítek regulátora. Protože se jedná o celoevropské nařízení, je znění GDPR zákona finální a závazné i v České republice. Některé aspekty, např. věkovou hranici dětí či úlevy pro malé podnikatele, může v mezích GDPR nařízení ještě upřesnit český Úřad na ochranu osobních údajů. Asociace na webu www.lepsi-reseni.cz průběžně aktualizuje přehled komentářů ÚOOU a seznam dodavatelů informačních systémů, kteří jsou schopni pomoci se zavedením nových požadavků na ochranu a zpřístupnění osobních údajů.

Proč by firmy měly objednat GDPR audit?

Implementace požadavků nařízení GDPR není úplně snadný krok. Aby měla smysl, je důležitá prvotní analýza, správné nastavení kodexu a souvisejících procesů a systémů, a poté otestování a vyhodnocení finálního stavu. Směrnice GDPR je zároveň příležitostí zvýšit celkovou kybernetickou bezpečnost a zároveň nevyhnutelnou zátěží, kterou musí pod pohrůžkou vysoké finanční sankce dodržovat každá firma. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.

Ne každý podnik má dostatečně zkušeného právníka, takže v rámci procesu zavádění GDPR nařízení bude většina firem využívat externí dodavatele služeb. Specialisté vám mohou zpracovat datový audit, audit procesů, připravit kodex ochrany osobních údajů a navrhnout kroky k dosažení shody s GDPR. Pokud budete jmenovat pověřence DPO z řad zaměstnanců, určitě je důležité kvalitní GDPR školení. Ale klíčová je výsledná podoba práce s osobními údaji – a právě její správnost pomůže doladit a potvrdit GDPR audit od certifikované autority. GDPR audit je garancí pro vedení společnosti, důkazem pro ÚOOU a jasným signálem pro zákazníky, že se jedná o seriozního obchodního partnera. Přitom cena GDPR auditu nemusí být nijak horentní – pokud je zavedení GDPR transparentní a správně zdokumentované.

Účinnost GDPR je 25. 5. 2018

Pakliže zacházíte s osobními údaji v rámci nejrůznějších podnikatelských či zájmových aktivit, začněte v této oblasti konat patřičné kroky ihned. Květen 2018 se blíží mílovými kroky a postihy pro nepřipravené jsou skutečně vysoké.