Využíváme cookies pro zajištění snadnějšího použití našich webových stránek. Pokračováním v prohlížení webu předpokládáme, že s tím souhlasíte. Rozumím Více informací

Jak se připravit na GDPR?


Mgr. Tomáš Prchal
25. 10. 2017
Vytisknout článek Odeslat článek mailem Diskuse k článku

Je nutné zabezpečit osobní údaje před neoprávněným zpracováním, ztrátou, zničením nebo poškozením.

Foto: 123RF

chystase
 

Snad každý podnikatel nakládá s osobními údaji svých zákazníků, obchodních partnerů nebo třeba zaměstnanců. Pojďme si přiblížit, co je potřeba udělat, abyste od května 2018 zpracovávali tyto údaje v souladu s novým evropským nařízením GDPR.


 
O pojmu General Data Protection Regulation, ve zkratce GDPR, jste určitě už minimálně slyšeli. Toto nařízení totiž výrazným způsobem přepracovává legislativu o ochraně osobních údajů a je tak jedním z nejrozsáhlejších právních předpisů, které Evropská unie v posledních letech přijala. Musí být plně zavedeno do května 2018 v celém svém rozsahu ve všech státech EU.

Kde s přípravou na GDPR začít? Většina procesů, díky kterým začleníte správu osobních údajů svých klientů, zaměstnanců a dodavatelů do programů STORMWARE, musí v prvé řadě vycházet z přijetí vnitřní koncepce, provedení procesních změn a zavedení vlastních opatření, která dodržují zejména zásady záměrné ochrany osobních údajů. Nejprve je tedy potřeba si uvědomit, jak a jaké osobní údaje zpracováváte a jak s nimi nakládáte.

Ačkoliv GDPR není primárně o technologiích, jeho implementace na ně má významný dopad. V tomto ohledu už vám mohou pomoci programy STORMWARE, ve kterých provedeme takové technické úpravy, aby principům GDPR vyhovovaly a co nejvíce vám tak zjednodušily implementaci vašich procesních změn a opatření.

Jelikož jako správce osobních údajů nesete odpovědnost za dodržování principů při jejich zpracování, v našich programech budeme klást důraz zejména na aspekty jejich správy, administrace a zabezpečení.

Správa osobních údajů v programech STORMWARE by tak měla umožnit především snadno realizovat práva subjektů údajů, klást důraz na zabezpečení těchto údajů, a to při dodržení zásad, které nařízení GDPR stanovuje.

Pět nejdůležitějších zásad, díky kterým pochopíte principy GDPR

První krok je tedy na vás, ale i s tím vám chceme pomoci. Proto jsme pro vás připravili přehled nejzákladnějších pojmů, díky nimž pochopíte základní význam rozsahu zpracování osobních údajů v souladu s novým nařízením. Nastavení vnitřních procesů tak pro vás bude o něco snazší.

Předně je důležité si uvědomit, že osobní údaje je nutné zpracovávat pod následujícími zásadami, které GDPR stanovuje.

1) Zákonnost

Osobní údaje můžete zpracovávat pouze na základě podmínek, které GDPR umožňuje:
  • Zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, případně i pro provedení opatření přijatých před uzavřením smlouvy na žádost těchto subjektů. Bude se tak jednat většinou o vaše zákazníky, dodavatele a jiné osoby, které jsou s Vámi ve smluvním vztahu.
  • Zpracování je nezbytné pro splnění právní povinnosti, v takovémto případě budete osobní údaje fyzických osob nejčastěji zpracovávat na základě povinnosti stanovené jiným právním předpisem – typicky půjde o údaje o zaměstnancích, ale i o ty, které jsou potřeba uchovávat dle zákona o DPH nebo zákona o účetnictví. Právě platná legislativa podnikatelským subjektům nařizuje archivovat po stanovenou dobu účetní doklady, mnohdy obsahující osobní údaje fyzických osob (viz Obr. 2 níže). Je tedy důležité si uvědomit, že kvůli zachování integrity účetních dat často nepůjde ve finančních výkazech zcela oddělit již zpracované osobní údaje. Celistvost dat je žádoucí také v případě zpětné kontroly finančního úřadu či úřadu práce.
  • Zpracování osobních údajů je nezbytné pro účely oprávněných zájmů správce, pokud existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem (když je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby). Zde může jít například o zasílání relevantních e-mailových zpravodajů, které mají bezprostřední vliv na poskytování služby zákazníkům.
  • Zpracování osobních údajů je nezbytné pro ochranu životně důležitých zájmů subjektu údajůpro splnění úkolů prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterou je správce pověřen. Tyto dvě podmínky ale nebudou mezi podnikajícími subjekty příliš časté.
Zásadu zákonnosti ukončíme ještě jedním důležitým faktem – GDPR přímo upřednostňuje zpracování osobních údajů na základě výše popsaných zákonných podmínek, které samy o sobě nevyžadují souhlas subjektu se zpracováním osobních údajů. Souhlas je tak až posledním předpokladem, na základě kterého lze osobní údaje zpracovávat.

2) Účelové omezení a omezení uložení

Je potřeba si stanovit účely, pro které konkrétní osobní údaje zpracováváte. Tyto účely se z části kryjí se zákonnými podmínkami, a tak budete zpracovávat osobní údaje například proto, že dotyčný subjekt je Váš dodavatel, zákazník nebo zaměstnanec.

3) Minimalizace údajů

Můžete zpracovávat pouze osobní údaje, které jsou relevantní, přiměřené a z hlediska rozsahu nezbytné vzhledem k účelu jejich zpracování. Jakmile tedy tento účel pomine, měly by být odstraněny.

Příklad

V praxi se například může stát, že zpracováváte osm osobních údajů pro jeden účel, typicky z důvodu splnění smlouvy, a z toho tři stejné údaje zpracováváte i za jiným účelem – například kvůli zasílání obchodních sdělení, ke kterým máte souhlas jejich subjektů.

Jakmile pomine účel zpracování osobních údajů na základě podmínky splnění smlouvy, máte povinnost odstranit pět osobních údajů, které se nekryjí s těmi třemí, k nimž dal subjekt souhlas a zatím jej neodvolal.


Nezapomeňte, že v některých případech zároveň nastává povinnost uchovávat osobní údaje také za účelem archivace účetních dat. Splňujete tak výše popsanou zákonnou podmínku GDPR, právní povinnost, a musíte tedy odstranit pouze údaje, které nadále za účelem archivace nepotřebujete.

4) Přesnost

S přihlédnutím k účelům, pro které se osobní údaje zpracovávají, musí být údaje přesné. V případě potřeby je nutné je aktualizovat nebo bezodkladně vymazat či opravit.

5) Integrita a důvěrnost

Poslední zásadou je důraz na náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním, před náhodnou ztrátou, zničením nebo poškozením. Co se týká organizačních opatření, zde je právě prostor pro nastavení procesních změn a postupů. V záležitosti technického zabezpečení se zase můžete spolehnout na naše programy.

Zároveň je nutné mít stále na mysli, že se GDPR vztahuje na ochranu osobních údajů všech fyzických osob, nezávisle na tom, zda jsou, nebo nejsou podnikatelskými subjekty; dokonce i v případě, že jsou již veřejně známými či dostupnými např. ve veřejném rejstříku.

Skutečnost veřejnosti rejstříku totiž neznamená, že takové osobní údaje lze dále neomezeně přebírat a zpracovávat (např. jejich dalším zveřejňováním) a tím na nich profitovat. je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků se považuje za jejich zpracování, k čemuž je potřeba právní důvod, tj. zákonem předpokládané oprávnění.

Obdobná situace nastává u osobních údajů, které dobrovolně zveřejňují na internetu samotné subjekty údajů za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze zpracovávat, jelikož i v tomto případě by správce měl absenci právního důvodu.

Veřejnost údajů tak nikdy neznamená možnost jejich dalšího bezmezného zpracovávání.

Prohlášení o zpracování osobních údajů

Jak by nastavení zpracování osobních údajů dle GPDR v základních rysech mohlo vypadat? Pro lepší přehled a inspiraci vám poslouží následující tabulka, ve které si jednotlivé body můžete jednoduše zaškrtávat.

Obr. 1: Prohlášení o zpracování osobních údajů

Správa osobních údajů dle GDPR pomocí programů STORMWARE

Rozsah našeho článku bohužel neumožňuje popsat všechny souvislosti a návaznosti jednotlivých požadavků nařízení GDPR a možnosti jejich pokrytí informačními technologiemi. Program POHODA má již nyní v sobě integrované funkcionality směřující k naplnění mnoha dílčích požadavků nařízení, na dalších vylepšení pracujeme.

Zaměřujeme se zejména na snazší správu osobních údajů, jejich vkládaní a následné zpracování. Neméně významnou oblastí je také případné nasazení detekčních a z části i aktivních nástrojů pro oblast monitoringu a dohledu a prevence, které nyní analyzujeme a následně implementujeme do našich programů.

Klademe především důraz na uváženou volbu a integraci do celkového řešení, která by mohla vést k významným úsporám času a současně by mohla zajistit mnohem výkonnější celek nejenom z pohledu řízení práce s osobními daty, ale také ze strany dohledu a bezpečnosti.

O dalších novinkách v oblasti ochrany osobních údajů v našich programech Vás budeme opět brzy informovat.

Jednou z dalších oblastí, kterou se nyní zabýváme, je například systém pro sběr a ukládání informací o provozu systémů, tzv. logů. Mohl by automatizovaně detekovat, zaznamenat a analyzovat určité množství údajů, zejména s ohledem na splnění povinnosti vést záznamy o činnostech zpracování osobních údajů, o době jejich uložení a notifikacích v případě potřeby jejich odstranění.

Jak je patrno výše, naše programy budou umět především dobře reagovat na vznášené požadavky samotných subjektů údajů, které se často budou domáhat realizace svých práv.

S programy STORMWARE snadno dokážete reagovat na požadavky subjektů údajů

Dokážete reagovat na požadavky typu:
  • Jaká data o mně uchováváte a k jakým účelům?
  • Poskytněte mi veškerá osobní data, která o mně zpracováváte ve strukturované, strojově čitelné formě.
  • Vymažte mé údaje z Vašeho systému.
  • Nepřeji si, abyste nadále využívali mé osobní údaje k marketingovým účelům.
V řadě oblastí zpracování osobních údajů budou technologie hrát klíčovou roli, jak z pohledu zajištění nutných vstupů pro realizaci detekčních a analytických vlastností programů, tak i pro zajištění důkazního materiálu pro prokazování aktivit v souladu s nařízením na straně správce. Nicméně aby byl potenciál funkcionality programu skutečně využit, je nutné nejprve přijmout a nastavit vnitřní procesy monitorování a řízení bezpečnosti osobních údajů a navrhnout účinná opatření (pro zajištění souladu s nařízením GDPR). A to zatím stroje samy nedokážou.

Archivace účetních dokladů

Platná legislativa nařizuje podnikatelům, účetním jednotkám a dalším subjektům archivovat po stanovenou dobu účetní doklady, které samozřejmě mnohdy obsahují osobní údaje o zaměstnancích, společnících, obchodních partnerech nebo třeba zákaznících. Podívejte se na malý přehled toho, jaké dokumenty jste povinni uchovávat.

Obr. 2: Archivační doba účetních dokladů




Související články:
Archivace účetních dokladů
GDPR zpřísňuje ochranu osobních údajů

Diskuse k článku

Zatím žádný komentář.

Přidat nový příspěvek do diskuse

Přihlásit k odběru




 
 
Security code 
 

Firmy v Pohodě
 
MARTHYpyro - ohňostroje
Prodejna v Modřanech, ohňostroje na jedno zapálení, eshop
www.marthypyro.cz

Móda-prádlo.cz
Dámské, pánské spodní prádlo, podprsenky, kalhotky, košilky.
www.moda-pradlo.cz

Daňový kalendář

27. 11. 2017 Kontrolní hlášení (za říjen 2017)
27. 11. 2017 Přiznání DPH (za říjen 2017)
27. 11. 2017 Souhrnné hlášení (za říjen 2017)
30. 11. 2017 Daň z nemovitých věcí (2.splátka)

Další termíny

Kurzovní lístek

25,56 Kč
-0,110 Kč
21,71 Kč
0,028 Kč

Více
Zdroj: ČNB, 16.11.2017

Ze života daňového poradce


Přihlášení k odběru newsletteru