Jak se pipravit na GDPR JUDr Monika Bakeov
Jak se připravit na GDPR ? JUDr. Monika Bakešová ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
ÚVOD Nejspíš jste již slyšeli o likvidačních pokutách podle nové právní úpravy ochrany osobních údajů, tj. nařízení nazývané zkratkou GDPR. V této prezentaci vám GDPR představím bez strašení a dám vám základní návod, jak si s GDPR poradit. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
PRVNÍ KROK – ZJISTIT JAKÉ ÚDAJE ZPRACOVÁVÁM GDPR se týká pouze osobních údajů fyzických osob (= subjekty údajů) – zákazníků, obchodních partnerů, ne právnických osob. Zjistěte a napište si jaké údaje sbíráte. Doporučuji sepsat podle zdrojů, z jakých údaje získáváte. A. ONLINE SVĚT Webové stránky – formuláře (ebook zdarma, newsletter), objednávkové formuláře, údaje v členské sekci (včetně uzavřených poraden) Sociální sítě – údaje, které vyplní/pošle subjekt údajů a zvlášť údaje, které si sami najdete a uložíte Mail – subjekty posílají objednávky, nezávazné poptávky, informace ke konzultacím apod. Sms, whatsapp, skype apod. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
PRVNÍ KROK – ZJISTIT JAKÉ ÚDAJE ZPRACOVÁVÁM B. ŽIVÝ SVĚT - Údaje písemně poskytnuté subjektem– vyplněné formuláře, dotazníky, smlouvy, nabídky, poptávky, faktury, informace (např. k poskytovaným konzultacím), o zaměstnancích, životopisy, vizitky - Údaje, které si zapíšete sami – diář, poznámky ze schůzky, z konzultace, povinná dokumentace (zdravotní služby) - Použití poskytnutých údajů v rámci plnění pro subjekt údajů – např. zpracuji žalobu, vypracuji návrh dalšího postupu - Fotografie (např. z průběhu semináře), videa, záznamy z kamer, otisky prstů (docházkový systém) ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
DRUHÝ KROK – POPSAT, CO SE S ÚDAJI DĚJE DÁL • Jak jsou získané údaje dál zpracovávány – kam je uložím, v jaké podobě (např. faktury do šanonu do uzamykatelné skříně, mail z webového formuláře do elektronického seznamu) • Kdo má k údajům oprávněný přístup (zaměstnanci, účetní, přepravce) • Jak jsou údaje chráněny, aby se k nim nedostal někdo neoprávněný (přístupová hesla, zámky, šifrování) • Kde jsou v průběhu zpracování rizika, kde hrozí únik údajů ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
TŘETÍ KROK – KATEGORIZACE ÚDAJŮ Zjistím, jestli zpracovávané údaje jsou jen „běžné“ anebo jde o zvláštní kategorie údajů (citlivé). Ujistím se, že opravdu všechny údaje potřebuju sbírat a zpracovávat. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
ČTVRTÝ KROK – TITUL PRO ZPRACOVÁNÍ Jakmile vím, jaká data zpracovávám, ujasním si, na základě jakého titulu (v souladu s GDPR) jednotlivá data zpracovávám. V úvahu přichází: ØSouhlas subjektu údajů (jen pokud nemůžu využít některý z dalších titulů!!!) ØZpracování nutné pro splnění smlouvy se subjektem údajů (např. jméno, příjmení, adresu potřebuje e-shop k dodání zboží) ØZpracování je nezbytné pro splnění vaší právní povinnosti (např. účetnictví, plnění povinností zaměstnavatele) ØZpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. poskytnutí nutné zdravotní péče) ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
ČTVRTÝ KROK – TITUL PRO ZPRACOVÁNÍ ØZpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (vedení veřejných registrů, vydávání správních rozhodnutí) ØZpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany. Tady je vždy nutno posoudit, jestli před oprávněným zájmem nemají přednost zájmy nebo základní práva a svobody subjektu údajů, zejména v případě dětí. OPRÁVNĚNÝ ZÁJEM JE I PŘÍMÝ MARKETING. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
PÁTÝ KROK – ZJISTIT SVÉ POVINNOSTI Podle toho, jaké údaje sbírám (běžné x zvláštní=citlivé), na základě jakého titulu (tj. zejména jestli potřebuju souhlas subjektu), jakým způsobem je dále zpracovávám, k jakému účelu, v jakém množství (jestli je to hlavní náplň mé činnosti), zjistím, jaké povinnosti mi z GDPR plnou. Tj. zjistím zejména: ØJestli potřebuju získat souhlas subjektu údajů. ØJak dlouho můžu (musím) údaje uchovávat. ØJaké informace a kdy musím subjektu údajů poskytnout, v jaké formě a jaká práva mu musím zajistit (např. výmaz údajů, přístup k údajům). ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
PÁTÝ KROK – ZJISTIT SVÉ POVINNOSTI ØJestli musím udělat posouzení vlivu na ochranu osobních údajů (v zásadě v případech rozsáhlého zpracování citlivých údajů, systematického a rozsáhlého profilování subjektu údajů, rozsáhlého monitorování veřejně přístupných prostor). ØJestli musím mít pověřence pro ochranu osobních údajů. ØJestli musím vést záznamy o činnostech zpracování (ne do 250 zaměstnanců, pokud nezpracovávám zvláštní kategorie údajů anebo zpracování není jinak rizikové pro práva a svobody subjektů). ØKdy a jak hlásit případy porušení zabezpečení osobních údajů. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
ŠESTÝ KROK – VYPRACOVAT DOKUMENTACI ØVždy informace pro subjekty údajů (jaká data jsou zpracovávána, na základě jakého titulu, pro jaký účel, jak, na jak dlouho, jaká jsou práva subjektu údajů) – umístit na web nebo předávat mailem, osobně v tištěné formě (např. u zaměstnanců) ØVnitřní „směrnice“ – i pokud nemusím vést záznamy o zpracování, je dobré mít dokumentaci toho jaké údaje, proč a jak zpracovávám, na základě jakých titulů, na jak dlouho, jak minimalizuji rizika neoprávněného úniku dat, kdo má k datům přístup, jak se bude řešit porušení ochrany, jak zajistím práva subjektu údajů (konkrétní postupy, kompetence), nastavit pravidelnou kontrolu, aktualizaci ØPokud musím mít souhlas se zpracováním, pak mít vypracovaný text souhlasu (pro každý účel zpracování nejlépe odděleně a konkrétně) ØSmlouvy se zpracovateli – typicky s účetní, daňovým poradcem, advokátem, přepravcem, ale i jinými smluvními partnery, kterým potřebuji osobní údaje předat (např. poskytovatel automatického mailingového programu) ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
SEDMÝ KROK – REALIZACE V PRAXI ØSouběžně s předchozím zajistit i „technickou“ realizaci zabezpečení údajů, tj. vhodný sw, šifrování a jiné zabezpečení, nastavení webu, zámky, trezory (pokud je nutné), mříže. ØProškolení zaměstnanců a spolupracovníků. ØPrůběžná aktualizace a kontrola. ØPOZOR!!! Zatím jsou teprve postupně zveřejňovány pokyny Pracovní komise (evropské) na stránkách ÚOOÚ, řada otázek resp. odpovědí na ně bude teprve vyjasněna + řešena až v praxi. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
CHCETE PODROBNĚJŠÍ INFORMACE A VZORY? • Sledujte mé webové stránky www. monikabakesova. cz a www. mojesro. cz • Sledujte stránku Právní svačinky na Facebooku • Napište mi na ak@bakesova. cz pokud chcete připravit dokumenty na míru vašemu podnikání. • Postupně budu přidávat informace i do samostatné členské sekce, pro registrované uživatele. Zdarma tam budou mít přístup všichni, kteří mají zakoupenou členskou sekci Moje S. R. O. ak@bakesova. cz www. monikabakesova. cz www. mojesro. cz
- Slides: 13