GDPR | Pověřenec pro Ochranu Osobních Údajů
Váš partner v oblasti bezpečnosti informací

Chystáte se zavádět GDPR a kladete si otázku: "Kde začít?"

Co je GDPR a co přináší?

General Data Protection Regulation


GDPR je přímo aplikovatelné nařízení evropského parlamentu a rady (EU) 2016/679, které stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním a volného pohybu osobních údajů pro celou Evropu. Výjimky ze zpracování OÚ, na které se nařízení GDPR nevztahuje, upravuje zvláštní směrnice 2016/680.

Pověřenec pro Ochranu OÚ

Data Protection Officer 

Pověřenec pro Ochranu Osobních Údajů je zaměstnanec, či EXTERNÍ poskytovatel služby, který dohlíží na dodržování ochrany osobních údajů v souladu s nařízením GDPR, poskytuje informace a poradenství správcům, zpracovatelům a zaměstnancům, kteří zpracovávájí osobní údaje a spolupracuje dozorovým úřadem ÚOOÚ.

Proč se GDPR zabývat?

Hrozba vysokých sankcí

Organizace, které nebudou v souladu s tímto nařízením budou čelit vysokým sankcím!

▪  Sankce až 20 miliónů € nebo 

▪  4% z celosvětového obratu skupiny

▪  Trestní odpovědnost právnických osob

▪  Datum účinnosti  25.5.2018

Naše služby

Nabízíme

KONZULTACE v oblasti GDPR 

IMPLEMENTACI GDPR ve vašem podniku

EXTERNÍ Pověřenec pro Ochranu Os. Údajů

Jak začít se zaváděním GDPR v organizaci

Kladete si otázku: "Kde a jak začít?"

Jsou vám tato konstatování či otázky povědomé?


  • Máme omezené lidské zdroje
  • Jsem v oblasti bezpečnosti informací nováček
  • Nemám žádný scénář a nevím, jak mám postupovat
  • Neexistuje žádná, nebo pouze omezená dokumentace k řízení bezpečnosti informací
  • Máme omezený rozpočet
  • Jak zjistím že to, co již děláme, děláme správně?
  • Jak ospravedlním nárůst zdrojů?
  • Jak mám vytvořit a spolupracovat s týmem na zavádění GDPR, když nedisponujeme lidmi s touto dovedností?
  • Jak mám uchovávat a spravovat záznamy s os. daty?
  • Jak mám hlásit současný stav GDPR a další postup?
  • Jak mám přimět ostatní k odpovědnosti?
  • Jak mám prokazovat soulad se zpracováním OÚ?

Pomůžeme vám...

Účinnost nařízení GDPR v organizaci může být s ohledem na rozsah zpracování správce nebo zpracovatele velmi náročným projektem, a to jak finančně, tak časově. Nařízení se totiž dotkne celé řady procesů, dokumentů a informačních systémů fungujících v rámci organizace dovnitř i vně a je také důležité ujasnit si svou roli při zpracování osobních údajů. Jiné povinnosti mají správci, tedy ti kteří zpracovávají osobní údaje pro své vlastní účely, a jiné mají zpracovatelé, kteří zpracovávají osobní údaje pro správce. GDPR by mělo být do organizace zaváděno projektovým způsobem, postupně, v časové perspektivě a s konkrétní odpovědností všech zúčastněných osob a je nutné připravit podrobný plán implementace, rozdělený do několika fází.

Rovněž je velice důležité, aby plán implementace a s ním spojenou nutnost vynaložení potřebných finančních a lidských zdrojů především pochopil a vzal za svůj vyšší management.  S odůvodněním nutnosti vynaložení potřebných zdrojů vám pomůže

Dopadová analýza GDPR

Klíčovým prvkem je správné pochopení rozsahu dopadů zavádění GDPR do vaší společnosti. Je nezbytné identifikovat, porozumět a dokumentovat aktuální stav ochrany osobních údajů v celé organizaci a identifikovat zdroje podílející se na jejich ochraně. 

Připravíme vám  dopadovou analýzu zavedení GDPR ve vaši společnosti, jejíž obsahem bude:

  • identifikace GDPR požadavků relevantních pro prostředí klienta
  • návrh plánu aktivit a činností nutných k dosažení souladu s GDPR

Tato analýza vám pomůže správně pochopit rozsah dopadů implementace GDPR do vaší společnosti a také správně nastavit váš business plán.

Implementace změn dle plánu aktivit

Jakmile budete znát rozsah a dopady zevedení GDPR do vaší společnosti, budete mít připravený projektový plán, upravený business plán a vybranou strategii, můžete přistoupit k vlastnímu zavádění GDPR dle připraveného plánu aktivit a činností.

Tento krok můžete realizovat buď vlastními silami, nebo společně s námi. Pomůžeme vám zavést Strukturovanou správu řízení ochrany osobních údajů ve vaši organizaci. Tato strukturovaná správa řízení ochrany osobních údajů vám umožní vyvtvořit trvalý soulad se zásadami zpracování osobních údajů, prezentaci dodržování předpisů, přístupu odpovědnosti a také vám umožní prokazování souladu již splněných požadavků.

Napsali o nás

Zdravý životní styl Bydlení 21. století Nápadov Úžasná místa Její svět - magazín pro ženy Magazín o všem, co jezdí

FAQ
Často kladené otázky týkající se GDPR

Kdy vchází GDPR v účinnost?

Nařízení EU 2016/679 GDPR bylo schváleno a Parlamentem EU přijato v dubnu 2016. Toto nařízení vstoupí v platnost po uplynutí dvouletého přechodného období a již nevyžaduje žádné další legislativní schválení vládou ČR. To znamená, že bude v platnosti od 25. května 2018. 

Na koho se GDPR vztahuje?

GDPR platí nejen pro subjekty se sídlem v EU, ale bude platit také pro organizace se sídlem mimo EU v případě, že nabízejí zboží nebo služby, nebo sledují chování subjektů údajů v EU. Vztahuje na všechny společnosti zpracovávající a skladující osobní údaje subjektů údajů s bydlištěm v Evropské unii, bez ohledu na umístění společnosti. 

Co dělat když dojde k porušení zabezpečení OÚ?

Jakékoli porušení zabezpečení osobních údajů ohlásí správce bez zbytečného odkladu do 72 hodin (od okamžiku, kdy se o něm dozvěděl) dozorovému úřadu - tedy Úřadu na Ochranu Osobních Údajů.

Jaké jsou sankce za nedodržení GDPR? 

Organizaci může být za porušení GDPR uložena pokuta prostřednictvím dozorového úřadu (ÚOOÚ) až do výše 4% ročního celosvětového obratu nebo 20 milionů € podle toho, která hodnota je vyšší. To je maximální pokuta, která může být uložena za nejzávažnější porušení, jako například:

  • zpracování osobních údajů nemá zákonný důvod
  • správce (organizace) nemá dostatečný souhlas od zákazníka zpracovávat jeho data nebo
  • není schopen tento souhlas doložit
  • organizace neposkytla zákazníkovi stručným a srozumitelným způsobem informace o způsobu nakládání s jeho daty
  • předala osobní údaje příjemci ve třetí zemi mimo EU
  • a celá řada dalších důvodů ... , tedy že organizace porušila podstatu konceptu ochrany osobních údajů dle GDPR. 

Pokuty se budou udělovat stupňovitě, např. společnosti může být udělena pokuta ve výši 2% z ročního obratu za to, že její záznamy nejsou v pořádku, neoznámí dohlížejícímu orgánu a subjektu údajů porušení pravidel při nakládání s osobními údaji, nebo nevykonává posouzení dopadů. Je důležité si rovněž uvědomit, že tato pravidla platí pro jak pro správce, tak i pro zpracovatele. Pojem "cloud" NEBUDE osvobozený od vymáhání GDPR.

Co představuje pojem osobní údaj? 

Osobní údaj může být cokoliv co se vztahuje na subjekt údajů (zákazníka) - jméno, fotografie, e-mailové adresy, bankovní údaje, příspěvky na sociálních sítích, lékařské informace nebo IP adresy počítače, biometrické údaje, ... . 

Jaký je rozdíl mezi zpracovatelem a správcem dat?

Správce dat je subjekt, který určuje účel, způsob, podmínky a prostředky zpracování osobních údajů, zatímco zpracovatelem je subjekt, který zpracovává osobní údaje jménem správce.

Jak je to s osobními údaji dětí?

Pro on-line služby bude vyžadován souhlas rodičů ke zpracovávání osobních údajů dětí mladších 16 let. Jednotlivé členské státy EU mohou přijmout zákony pro nižší věk souhlasu, ale ne mladší 13 let.

Zpracovatelé údajů vyžadují "výslovný" nebo "jednoznačný" souhlas. Jaký je mezi nimi rozdíl?

V GDPR byly posíleny podmínky pro udělení souhlasu, jelikož společnosti již nebudou moci využívat dlouhé nečitelné podmínky, které jsou plné zákonností. 

JEDNOZNAČNÝ SOUHLAS musí být jasný a odlišitelný od ostatních záležitostí, musí být poskytnut ve srozumitelné a snadno přístupné podobě, pomocí jasného a srozumitelného jazyka za účelem zpracování dat připojeným k tomuto souhlasu. Pro zpracování osobních údajů je jednoznačný souhlas dostačující.

VÝSLOVNÝ SOUHLAS je vyžadován pro zpracování zvláštních kategorií osobních údajů - v tomto kontextu nebude postačovat nic jiného než písemný souhlas nebo princip "Přihlásit se". 

Souhlas je TĚŽKÉ ZÍSKAT, ale SNADNÉ ODVOLAT!

Musí mít naše společnost Pověřence pro Ochranu Osobních Údajů?

Povinnost zřídit roli Pověřence pro Ochranu Osobních Údajů (Data Protection Officer - DPO) se týká: 

  • orgánů veřejné moci (např.: obce, školy, netýká se soudů)
  • pokud činnosti správce zahrnují systematické, rozsáhlé a pravidelné monitorování subjektů, (např.: poskytovatelé úvěrů, pojišťění, energetických, tel., datových služeb, cestovní kanceláře, personální, reklamní agentury, eShopy, dopravní podniky, nemocnice,  (...)
  • či zpracovávají zvláštní kategorie osobních údajů 

Pokud vaše organizace nespadá do jedné z těchto kategorií, nemusíte Pověřence pro Ochranu Osobních údajů jmenovat.

Jaký je rozdíl mezi nařízením EU a směrnicí EU? 

Nařízení je závazný legislativní akt, který musí být uplatňen v celém rozsahu a v celé EU. Zatímco směrnice je legislativním aktem, který stanoví cíl, kterého musí dosáhnout všechny země EU, avšak je na jednotlivých zemích, aby rozhodly jak. Je důležité poznamenat, že GDPR je nařízení, na rozdíl od předchozí legislativy, která je směrnicí.