Menu

Časté dotazy

02. června 2017

Jaké nové povinnosti GDPR přináší?

Je nutné zdůraznit, že základní zásady, principy a klíčové instrumenty zůstávají de facto neměnné, resp. byly detailněji pouze rozpracovány a zpřesněny (např. nutnost disponovat pro zpracování právním důvodem, zabezpečení osobních údajů, transparentnost vůči subjektu údajů atd.). Obecné nařízení na těchto základech přináší nástavbu spočívající v dodatečných nových povinnostech, které pro české správce budou nové.

Čtěte dál


31. května 2017

Na jakých nových přístupech je GDPR založeno?

Lze hovořit o dvou nových přístupech, na kterých je Obecné nařízení založeno.  Novými přístupy jsou princip odpovědnosti správce a přístup založený na riziku.

Čtěte dál


Na jaké činnosti GDPR nedopadá?

Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.

Dále je z působnosti Obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. To je předmětem úpravy Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Jelikož jde o směrnici, je nutné její provedení, které bude vesměs v zákoně č. 273/2008 Sb., o Policii České republiky a též i v novelizovaném zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.


Jak má k problematice GDPR přistoupit středně velká firma, která není bohatá?

Jak má k GDPR přistoupit středně velká firma, která není bohatá, ale ani přeprocesovaná: menší e-shop, spediční firma, cestovní agentura apod.? Především s rozvahou a se správnými lidmi. Stále je třeba mít na paměti, že změny je nutné realizovat ve všech dotčených oblastech a systémech v potřebném rozsahu. Důležité je nepodcenit analytickou fázi, jelikož z jejích výsledků se budou odvíjet rozsah a cena potřebných opatření. Klíčovým krokem je zmapovat si vnitřní prostředí společnosti, zjistit, s jakým typem osobních údajů pracujete a hlavně, jaký je právní titul a účel k tomuto zpracování. Na základě této analýzy vyplynou vysoce rizikové oblasti, které je třeba pořešit, aby byla společnost uvedena do souladu s GDPR pravidly.

Pro tento typ společností je důležité si uvědomit, že výběr správného dodavatele může znamenat podstatně rychlejší a efektivnější implementaci opatření. Rozhodně se nedoporučuje začít s nějakým technickým řešením nebo pořízením si tzv. GDPR compliant produktu či služby, s kterými se v poslední době roztrhl pytel. Nálepku nebo certifikát “GDPR compliance” žádná oficiální certifikační autorita dosud neuděluje, jedná se ryze o marketingové praktiky společností, které se pochopitelně snaží na GDPR vydělat.



Hlavní partneři