GDPR update: Jste stále v souladu?

GDPR už je s námi už 5 let. Jak jsou na tom vaše vnitřní procesy, předpisy a dokumenty: Jsou stále živé, aktuální, používané v praxi? Nebo se na ně práší někde v šuplíku?

GDPR update na tento rok

Co se od roku 2018 změnilo?

V roce 2018 jsme všichni řešili, co GDPR v praxi doopravdy změní. Jak upravit pravidla pro zpracování osobních údajů, pro anonymizaci dat, kdo bude vyřizovat žádosti subjektů údajů o přístup k datům a jejich výmaz, jak upravit zabezpečení osobních údajů. A taky kde vzít kvalitního pověřence pro ochranu osobních údajů.

Bylo by ale chybou si myslet, že jednorázovým splněním požadavků GDPR vše skončilo. Že máme odškrtnuto a můžeme se vrhnout na další regulatorní výzvu.

GPDR je stále stejné. Pravidla a požadavky pro zpracování osobních údajů se ale vyvíjejí. Jak to?

1) Mění se legislativa

Od roku 2022 platí novela zákona o elektronických komunikacích. Ta změnila pravidla pro využití cookies a pro telemarketing. V kostce řečeno, výrazně posílila opt-in princip. Jak cookies využívaná za účelem marketingu, profilování uživatele nebo hodnocení webových stránek, tak telefonický marketing na neklienty, by se měl dít jen s předchozím souhlasem. A tento souhlas by měl splňovat náležitosti souhlasu podle GDPR. Být svobodný, vědomý, informovaný, aktivní… A také dokumentovaný a zpětně doložitelný.

2) Zpřesňuje se výklad 

Evropský sbor pro ochranu osobních údajů od roku 2018 vydal několik desítek vodítek a metodik. Upřesňuje plnění jednotlivých povinností, ať už při oznamování data breaches, ověřování zpracovatele, poskytování informací subjektu údajů nebo při využívání kamer a kamerových systémů.

 Český Úřad pro ochranu osobních údajů (ÚOOÚ) rovněž nezahálí. Vydal mj. metodiku k tomu, kdy je nutné provádět tzv. posouzení vlivu na ochranu osobních údajů (data protection impact assessmentm, DPIA) a jak hodnotit rizika, která subjektu údajů ze zpracování jeho dat mohou vzniknout. Připravil vzorový formulář pro ohlašování data breaches, podílel se na metodice k telemarketingu a využívání cookies.

ÚOOÚ také změnil svůj přístup ke kamerám. Nově říká, že GDPR se uplatní i na online kamerové systémy. Řešíte to?

 
GDPR se vztahuje i na online kamery
GDPR se vztahuje i na online kamery
3) Nelení ani soudy

 GDPR upřesňují i soudy. Rozsudků českých i evropských soudů vydaných po účinnosti GDPR je už mnoho desítek, ne-li víc než sto. Znáte alespoň ty hlavní?

 Soudní dvůr Evropské unie například dovodil, že používání Facebook tlačítka like na vašem webu z vás dělá tzv. společné správce osobních údajů. Víte, co to znamená a co z toho pro vás plyne?

České soudy zase potvrdily, že pokutu za spam a související neoprávněné zpracování osobních údajů může organizace dostat i tehdy, když k rozesílání obchodních nabídek využívá dodavatele, který garantuje, že je všechno plně legální. Kontroluje své dodavatele, zpracovatele osobních údajů? Splňuje i nové smlouvy všechny požadavky GDPR?

4) Nové zákony na obzoru

Není toho málo, že? A to jsme ještě neskončili. Připravuje se řada nových předpisů, které budou mít do procesů pro zpracování osobních údajů přímý dopad.

Chcete příklad? Tak třeba:

  • Whistleblowing zákon

  • NIS2

  • DORA

  • ePrivacy nařízení

  • Zákon o hromadných žalobách

A taky by se mělo zrušit rodné číslo v občanských průkazech. Místo něj budeme využívat tzv. BSI, bezvýznamový směrový identifikátor. Počítáte s tím?

GDPR update rychle a efektivně

Chcete se ujistit, že Vaše GDPR procesy, postupy a dokumenty jsou stále aktuální a nic důležitého v nich nechybí? Máme pro vás řešení, a dokonce dvě:

1) GDPR Toolkit a GDPR dokumentace

K čemu ty produkty slouží?

Už řady let v TayllorCox o GDPR přednášíme, školíme, pomáháme s implementací a úpravou procesů. A zavedení GDPR a systému pro bezpečnost informací také auditujeme. Za tu dobu jsme získali řadu zkušeností a poznatků, jak GDPR uchopit v praxi efektivně, smysluplně a chytře.

A taky jsme k tomu připravili knihu, Příručku pověřence pro ochranu osobních údajů. Ta obsahuje praktické tipy a návody pro pověřence a další pracovníky, kteří mají zpracování osobních údajů v organizaci na starosti. Provází je jednotlivými ustanoveními GDPR a radí, jak na ně. Knížka to byla úspěšná, po vyprodání prvního nákladu 1.000 kusů jsme museli tisknout další. Ještě jich pár zbývá.

S těmito poznatky a zkušenostmi jsme připravili nástroje pro snadné zavedení nebo kontrolu plnění GDPR. Je to skutečně to nezbytně nutné minimum, které lze snadno upravit na míru každé organizaci, doplnit o některý z obsažených modulů a dokumentů a nasadit do praxe.

Naše nástroje GDPR Toolkit a GDPR dokumentace prošly velkým updatem. Všechny dokumenty byly revidovány, aktualizovány a upřesněny. Doplnili jsme odkazy na nové metodiky a zohlednili další zkušenosti z praxe, ze seminářů, workshopů, auditů a dalších projektů.

 

Zavádíte GDPR do nové společnosti, řešíte nový produkt či změnu procesu? Nebo se chcete ujistit, že nastavený GDPR systém je stále v souladu se všemi novými a upřesněnými požadavky? Podívejte se, který z těchto produktů vám může lépe a rychleji pomoci.

 

2) Nový kurz - GDPR update

Novinek je opravdu hodně. Ne každý má čas je sledovat, schopnost vidět je v souvislostech a hledat efektivní řešení, jak se s nimi v praxi vypořádat.

Vyřešte to novým seminářem GDPR update. Dvakrát ročně s vámi všechny důležité novinky projdeme v informačně nabitém semináři.  

Nevíte, jak se do GDPR pustit? Máte zpracování osobních údajů nově na starosti? Tak zkuste kurzy GDPR Intro, díky kterému se v celé problematice zorientujete a získáte základní přehled. Pak můžete navázat kurzem pro pověřence pro ochranu osobních údajů, nebo některým ze specifických workshopů zaměřených na problematické body GDPR: Zabezpečení dat (https://www.tx.cz/gdpr/gdpr-hackersky-utok-na-data-nemocnice), využití třetích stran, zpracovatelů osobních údajů (https://www.tx.cz/gdpr/gdpr-workshop-zpracovani-dat-cloud) a nastavení procesu pro vyřizování podnětů subjektů údajů, například uplatnění práva na přístup nebo práva na výmaz osobních údajů (https://www.tx.cz/gdpr/konkurencni-utok-na-eshop).

Koho bude zajímat váš soulad s GDPR? ÚOOÚ, soud, mateřskou společnosti, investory…

Pravidla pro zpracování osobních údajů se stále vyvíjejí. Kromě GDPR a spousty sektorové regulace tu máme judikáty, metodiky a rozhodnutí dozorových úřadů.

Kdo všechno od vás může chtít doložení toho, že všechny požadavky dodržujete? A že to jste schopni dokázat?

  • Mateřská společnost

  • Zřizovatel

  • Úřad pro ochranu osobních údajů

  • Státní úřad inspekce práce při kontrole zpracování dat zaměstnanců

  • Soud, který bude řešit žalobu klienta na neoprávněný zásah do soukromí

  • Investor nebo kupec vaší společnosti

  • Auditor při certifikaci nebo jiné kontrole

GDPR a ISO 27701

Mimochodem, audit. Znáte ISO normu 27701:2019?

Je to nástavba nad ISO normami řady 27000, které se zabývají systémem ochrany informací. A ISO 27701 tyto požadavky upřesňuje právě ve vazbě na osobní údaje. GDPR certifikace se stále pořádně nerozjely. Jestli chcete svůj soulad s GDPR a dalšími pravidly a regulacemi v oblasti ochrany osobních údajů demonstrovat navenek, třeba klientům a investorům, zvažte právě ISO 27701 certifikaci. GDPR nástroje a workshopy od TayllorCox jsou k tomu velmi vhodným podkladem.

Loading...