GDPR už je s námi už 5 let. Jak jsou na tom vaše vnitřní procesy, předpisy a dokumenty: Jsou stále živé, aktuální, používané v praxi? Nebo se na ně práší někde v šuplíku?
Co se od roku 2018 změnilo?
V roce 2018 jsme všichni řešili, co GDPR v praxi doopravdy změní. Jak upravit pravidla pro zpracování osobních údajů, pro anonymizaci dat, kdo bude vyřizovat žádosti subjektů údajů o přístup k datům a jejich výmaz, jak upravit zabezpečení osobních údajů. A taky kde vzít kvalitního pověřence pro ochranu osobních údajů.
Bylo by ale chybou si myslet, že jednorázovým splněním požadavků GDPR vše skončilo. Že máme odškrtnuto a můžeme se vrhnout na další regulatorní výzvu.
GPDR je stále stejné. Pravidla a požadavky pro zpracování osobních údajů se ale vyvíjejí. Jak to?
Od roku 2022 platí novela zákona o elektronických komunikacích. Ta změnila pravidla pro využití cookies a pro telemarketing. V kostce řečeno, výrazně posílila opt-in princip. Jak cookies využívaná za účelem marketingu, profilování uživatele nebo hodnocení webových stránek, tak telefonický marketing na neklienty, by se měl dít jen s předchozím souhlasem. A tento souhlas by měl splňovat náležitosti souhlasu podle GDPR. Být svobodný, vědomý, informovaný, aktivní… A také dokumentovaný a zpětně doložitelný.
2) Zpřesňuje se výklad
Evropský sbor pro ochranu osobních údajů od roku 2018 vydal několik desítek vodítek a metodik. Upřesňuje plnění jednotlivých povinností, ať už při oznamování data breaches, ověřování zpracovatele, poskytování informací subjektu údajů nebo při využívání kamer a kamerových systémů.
Český Úřad pro ochranu osobních údajů (ÚOOÚ) rovněž nezahálí. Vydal mj. metodiku k tomu, kdy je nutné provádět tzv. posouzení vlivu na ochranu osobních údajů (data protection impact assessmentm, DPIA) a jak hodnotit rizika, která subjektu údajů ze zpracování jeho dat mohou vzniknout. Připravil vzorový formulář pro ohlašování data breaches, podílel se na metodice k telemarketingu a využívání cookies.
ÚOOÚ také změnil svůj přístup ke kamerám. Nově říká, že GDPR se uplatní i na online kamerové systémy. Řešíte to?
GDPR se vztahuje i na online kamery
3) Nelení ani soudy
GDPR upřesňují i soudy. Rozsudků českých i evropských soudů vydaných po účinnosti GDPR je už mnoho desítek, ne-li víc než sto. Znáte alespoň ty hlavní?
Soudní dvůr Evropské unie například dovodil, že používání Facebook tlačítka like na vašem webu z vás dělá tzv. společné správce osobních údajů. Víte, co to znamená a co z toho pro vás plyne?
České soudy zase potvrdily, že pokutu za spam a související neoprávněné zpracování osobních údajů může organizace dostat i tehdy, když k rozesílání obchodních nabídek využívá dodavatele, který garantuje, že je všechno plně legální. Kontroluje své dodavatele, zpracovatele osobních údajů? Splňuje i nové smlouvy všechny požadavky GDPR?
Není toho málo, že? A to jsme ještě neskončili. Připravuje se řada nových předpisů, které budou mít do procesů pro zpracování osobních údajů přímý dopad.
Chcete příklad? Tak třeba:
Whistleblowing zákon
NIS2
DORA
ePrivacy nařízení
Zákon o hromadných žalobách
A taky by se mělo zrušit rodné číslo v občanských průkazech. Místo něj budeme využívat tzv. BSI, bezvýznamový směrový identifikátor. Počítáte s tím?
Chcete se ujistit, že Vaše GDPR procesy, postupy a dokumenty jsou stále aktuální a nic důležitého v nich nechybí? Máme pro vás řešení, a dokonce dvě:
1) GDPR Toolkit a GDPR dokumentace
K čemu ty produkty slouží?
Už řady let v TayllorCox o GDPR přednášíme, školíme, pomáháme s implementací a úpravou procesů. A zavedení GDPR a systému pro bezpečnost informací také auditujeme. Za tu dobu jsme získali řadu zkušeností a poznatků, jak GDPR uchopit v praxi efektivně, smysluplně a chytře.
A taky jsme k tomu připravili knihu, Příručku pověřence pro ochranu osobních údajů. Ta obsahuje praktické tipy a návody pro pověřence a další pracovníky, kteří mají zpracování osobních údajů v organizaci na starosti. Provází je jednotlivými ustanoveními GDPR a radí, jak na ně. Knížka to byla úspěšná, po vyprodání prvního nákladu 1.000 kusů jsme museli tisknout další. Ještě jich pár zbývá.
S těmito poznatky a zkušenostmi jsme připravili nástroje pro snadné zavedení nebo kontrolu plnění GDPR. Je to skutečně to nezbytně nutné minimum, které lze snadno upravit na míru každé organizaci, doplnit o některý z obsažených modulů a dokumentů a nasadit do praxe.
Naše nástroje GDPR Toolkit a GDPR dokumentace prošly velkým updatem. Všechny dokumenty byly revidovány, aktualizovány a upřesněny. Doplnili jsme odkazy na nové metodiky a zohlednili další zkušenosti z praxe, ze seminářů, workshopů, auditů a dalších projektů.
Zavádíte GDPR do nové společnosti, řešíte nový produkt či změnu procesu? Nebo se chcete ujistit, že nastavený GDPR systém je stále v souladu se všemi novými a upřesněnými požadavky? Podívejte se, který z těchto produktů vám může lépe a rychleji pomoci.
2) Nový kurz - GDPR update
Novinek je opravdu hodně. Ne každý má čas je sledovat, schopnost vidět je v souvislostech a hledat efektivní řešení, jak se s nimi v praxi vypořádat.
Vyřešte to novým seminářem GDPR update. Dvakrát ročně s vámi všechny důležité novinky projdeme v informačně nabitém semináři.
Nevíte, jak se do GDPR pustit? Máte zpracování osobních údajů nově na starosti? Tak zkuste kurzy GDPR Intro, díky kterému se v celé problematice zorientujete a získáte základní přehled. Pak můžete navázat kurzem pro pověřence pro ochranu osobních údajů, nebo některým ze specifických workshopů zaměřených na problematické body GDPR: Zabezpečení dat (https://www.tx.cz/gdpr/gdpr-hackersky-utok-na-data-nemocnice), využití třetích stran, zpracovatelů osobních údajů (https://www.tx.cz/gdpr/gdpr-workshop-zpracovani-dat-cloud) a nastavení procesu pro vyřizování podnětů subjektů údajů, například uplatnění práva na přístup nebo práva na výmaz osobních údajů (https://www.tx.cz/gdpr/konkurencni-utok-na-eshop).
Koho bude zajímat váš soulad s GDPR? ÚOOÚ, soud, mateřskou společnosti, investory…
Pravidla pro zpracování osobních údajů se stále vyvíjejí. Kromě GDPR a spousty sektorové regulace tu máme judikáty, metodiky a rozhodnutí dozorových úřadů.
Kdo všechno od vás může chtít doložení toho, že všechny požadavky dodržujete? A že to jste schopni dokázat?
Mateřská společnost
Zřizovatel
Úřad pro ochranu osobních údajů
Státní úřad inspekce práce při kontrole zpracování dat zaměstnanců
Soud, který bude řešit žalobu klienta na neoprávněný zásah do soukromí
Investor nebo kupec vaší společnosti
Auditor při certifikaci nebo jiné kontrole
GDPR a ISO 27701
Mimochodem, audit. Znáte ISO normu 27701:2019?
Je to nástavba nad ISO normami řady 27000, které se zabývají systémem ochrany informací. A ISO 27701 tyto požadavky upřesňuje právě ve vazbě na osobní údaje. GDPR certifikace se stále pořádně nerozjely. Jestli chcete svůj soulad s GDPR a dalšími pravidly a regulacemi v oblasti ochrany osobních údajů demonstrovat navenek, třeba klientům a investorům, zvažte právě ISO 27701 certifikaci. GDPR nástroje a workshopy od TayllorCox jsou k tomu velmi vhodným podkladem.
