GDPR - nařízení EU o ochraně osobních údajů
GDPR je zkratka pojmu General Data Protection Regulation. Toto nařízení výrazným způsobem přepracovává legislativu o ochraně osobních údajů. Je jedním z nejrozsáhlejších právních předpisů, které Evropská unie v posledních letech přijala. Nařízení je platné od května 2018 v celém svém rozsahu ve všech státech EU.
Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií. Cílem GDPR je chránit digitální práva občanů EU.
Znamená to, že se všichni ti jenž, se nařízení dotýká, budou muset v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Co jsou osobní údaje?
Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav nebo také IP adresu. Protože se GDPR vztahuje i na podnikající fyzické osoby, zahrnují se mezi osobní údaje i tzv. organizační údaje. Jsou to například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem (IČO, DIČ).
Zvláštní kategorií osobních údajů jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.
Povinnosti institucí a firem
Nařízení zavádí princip tzv. zodpovědnosti, který spočívá v povinnosti správců a zpracovatelů údajů bez ohledu na jejich velikost nebo počet zaměstnanců zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. Uvádíme některé z povinností:
- implementace záměrné a nezbytné ochrany dat
- jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
- vedení záznamů o činnostech zpracování
Aby správce mohl doložit soulad s GDPR, měl by přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů. Tato opatření by měla mj. spočívat v minimalizaci zpracování osobních údajů, v transparentnosti s ohledem na účely a zpracování osobních údajů a v umožnění přístupu občanů k jejich údajům.
Výjimky z povinnosti vedení záznamů činnostech zpracování lze uplatnit pro organizaci s méně než 250 zaměstnanci, pokud zpracování osobních údajů není jejich hlavní činností, neexistuje u nich riziko pro práva a svobody osob a tyto organizace nezpracovávají citlivé údaje.
GDPR a ekonomický a účetní program Harmonik
I přesto, že GDPR není primárně o technologiích, jeho implementace na ně má významný dopad. Proto také do účetního a ekonomického programu Harmonik zavedeme v roce 2018 takové technické úpravy, aby bylo vyhověno principům GDPR. Pomůžeme vám tím zjednodušit procesní změny a opatření.
Zaměříme se především na dodržení podmínek pro zpracování údajů, jejich správu nebo zabezpečení. Pomocí funkcí programu Harmoniku budete schopní realizovat práva vyplývající z GDPR a reagovat na nejčastější důsledky, např.:
- Jaká data o mně uchováváte a k jakým účelům?
- Poskytněte mi veškerá osobní data, která o mně zpracováváte ve strukturované, strojově čitelné formě.
- Vymažte mé údaje z Vašeho systému.
- Nepřeji si, abyste nadále využívali mé osobní údaje k marketingovým účelům.
Software bude mít svou roli v zajištění vlastností související se vstupem dat, jejich zpracování a také zabezpečení. Bude moc být využitý také jako důkazní materiál pro prokazování aktivit v souladu s nařízením na straně správce.