GDPR a ochrana dat obecně

banner-935470_1920

Co se to děje?

Opravdu se děje. Digitální svět se prudce rozvíjí – toho si nelze nevšimnout. A s daty se zachází čím dál neopatrněji. Vnořeni do svých mobilů, máme pocit, že jsou naše data v našich rukách (jak symbolické) a klidně odklikáváme souhlas sem a souhlas tam, instalujeme nové „appky“, ukládáme čísla karet a když se někam přesuneme, tak proboha honem tu wifinu, ať už jsem online. A my v tom běhu nemáme čas přemýšlet a kdo se v tom má sakra vyznat.

A když podnikáme, snažíme se tomu digitálnímu světu přizpůsobit. Pořizujeme CRM a ERP systémy, nastavujeme SEO a analytiku, hledáme, jak se zviditelnit na těch sociálních sítích, co s tím direct e-mailingem, … Ne nebudu vás děsit.

GDPR je příležitost zastavit se a podívat se na to, jak s daty pracujeme a jak je chráníme.

Mluvím o datech a nejen o osobních údajích, protože když už to budeme dělat, tak proč jen část dat, proč se nestarat o data komplexně?

Co to to GDPR tedy je?

General Data Protection Regulation – evropské nařízení na ochranu dat bylo schváleno v dubnu 2016 a platné bude od 25. 5. 2018. Říkáte si dost času? No to přijde na věc.

Velké firmy už na tom intenzivně pracují a obávají se, že to nestihnou. Promyslete, co byste měli udělat vy a plánujte.

Co jsou to ty osobní údaje?

Ne, není to jen rodné číslo. Nově se osobním údajem stává i IP adresa, e-mail, telefon, prostě všechny informace vztahující se k identifikované či identifikovatelné fyzické osobě.

Zvláštní kategorií jsou citlivé údaje, mezi které se vedle např. otisků prstů a údajů o zdravotním stavu nově řadí i osobní údaje dětí.

A zpracování těchto údajů se musí být v souladu s GDPR.


Pokud se přesto rozhodnete GDPR ignorovat, nezapomeňte do svých finančních plánů zahrnout i možné pokuty, které mohou nabývat astronomických hodnot (i pro menší firmy až 20 mil. EUR).


A co s tím?

Na počátku všeho to chce zastavit se a zamyslet. Výsledkem tohoto zamyšlení by měl být dokument, který je jakousi rizikovou analýzou.

Připravila jsem pro vás soubor otázek, na které byste se měli pokusit najít odpovědi a které mohou být podkladem pro Analýzu zpracování osobních údajů.

Další kroky vyplynou z této analýzy. Záleží na tom, jak velká jste firma, jaká data a jak zpracováváte, kolik lidí a jak s daty pracuje.

  • Pokud používáte jakýkoli systém, je potřeba prověřit, jestli odpovídá požadavkům GDPR. A pokud ne, jestli na tom dodavatel pracuje.
  • Náročné bude určitě prověřit a často upravit smlouvy s dodavateli a dalšími spolupracujícími firmami. Předpokládám, že se neobejdete bez pomoci znalého právníka. Stejně ho budete potřebovat, pokud potřebujete zrevidovat Souhlas se zpracováním osobních údajů.
  • Vedle technických a administrativních opatření bude nezbytné proškolit zaměstnance, je potřeba jim vysvětlit co a proč GDPR přináší a jak se to projeví v jejich práci.
  • A určitě sledujte, co se kolem GDPR děje. Pracovní skupina WP29 vydává další a další upřesnění k nařízení. Naše legislativa také bude muset reagovat, ÚOOÚ se bude postupně vyjadřovat k různým konkrétním případům. Právníci nás budou zahrnovat svými výklady jednotlivých situací a termínů.

Máte-li zájem si nařízení prostudovat, najdete ho ZDE.


Chcete-li se dozvědět o GDPR něco víc, doporučuji tento web GDPR.cz


 Proč já? LDnakres4m

Proč jsem se rozhodla tomuto tématu věnovat? GDPR není věcí IT nebo právníků nebo manažerů, je to problematika, které se tito odborníci musí věnovat společně.

Je potřeba se zamyslet nad tím, jaká data a jak firma zpracovává, jakou k tomu má oporu v legislativě, jaké nástroje pro zpracování a zabezpečení používá, jak jsou nastaveny firemní procesy, jak zodpovědně dodržují pravidla zaměstnanci a jak se k datům chce firma chovat do budoucna.

A protože jsem analytik s bohatými životními zkušenostmi z IT, řízení firem i s prací s riziky, dokážu tyto aspekty koordinovat, nacházet společnou řeč mezi jednotlivými účastníky celého procesu a pomáhat hledat řešení.


A pokud si pořád ještě myslíte, že se vás to netýká, podělím se s vámi o náš

Rodinný příběh

Syn chodil na průmyslovku a asi nějakých chytrý „kamarád“ si asi při nějakém tom skupinovém vyplňování seznamů opsal jeho osobní údaje. Zatím jsou to domněnky. A teď fakta. Ten „kamarád“ jezdil načerno a při kontrolách se začal vydávat za mého syna. A nám domů lítaly požadavky na uhrazení dluhu. Pokaždé jsem zavolala do příslušné vymahačské kanceláře, situaci vysvětlila a oni žádost stornovali. Až do synových 18tých narozenin. Najednou přiletěl platební rozkaz od soudu. Nevím, jestli jste se s tímto institutem setkali, ale sranda skončila. Díky D.A.S. jsme ihned zahájili boj (a mezi tím další platební rozkazy následovaly) a můj drahý synek musel k soudu. Po zralé úvaze jsem ho navíc vyštvala na státní zastupitelství podat trestní oznámení na neznámého pachatele (jednání státního zástupce je na samostatnou povídku). Společně jsme sepsali stížnost na pochybení policie (ověření totožnosti navzdory chybně uvedeným „zákulisním“ informacím je na další povídku). Měli jsem štěstí na rozumnou soudkyni, takže vše skončilo bez finanční újmy, právní náklady nám uhradilo pojištění, ale syn si do života odnesl tvrdou zkušenost. A já konec konců také.

Takže když se přede mnou budete vztekat, jak je to všechno zbytečná buzerace, budu vám povídat tento svůj příběh a udělám všechno pro to, aby se všechny možné instituce (včetně veřejných) chovaly k mým datům s úctou! A už se těším, jak se stát zbaví RČ v DIČ!!!

A proč to všechno píšu?

Protože vám mohu pomoci. Věřte mi, že pro aplikaci GDPR neexistuje univerzální řešení. Je potřeba poznat prostředí firmy a teprve pak navrhnout kroky, které by bylo dobré udělat. Abyste se vyhnuli těm astronomickým pokutám, ale hlavně, aby se s těmi daty opravdu začalo zacházet zodpovědně.

 

post-1244980_1280m

 

NAPIŠTE MI

Vaše jméno *

Váš email *

Potřebuji pomoc s GDPRPotřebuji něco úplně jiného

Vaše zpráva