Ochrana osobních údajů

Hero image

Chraňte svá data

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20.000.000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností) a bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR.

Co je vlastně osobní údaj

Osobní údaje jsou jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. U podnikající fyzické osoby tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Zvláštní kategorie jsou např.: údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení.

Citlivé údaje jsou podle nařízení genetické, biometrické údaje a osobní údaje dětí. Ty podléhají mnohem přísnějším pravidlům.

Jaké povinnosti ukládá GDPR organizacím?

Povinnost správců a zpracovatelů údajů (bez ohledu na jejich velikost nebo počet zaměstnanců) zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR.

  • Implementace záměrné a nezbytné ochrany dat
  • Vypracování posouzení vlivu na ochranu osobních údajů, DPIA (Data Protection Impact Assessment)
  • Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer)
  • Zavedení tzv. pseudonymizace osobních údajů
  • Vedení záznamů o činnostech zpracování
  • Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů