Co je to GDPR? V současné době snad již není nikdo, kdo by tuto zkratku neslyšel. Bohužel ale většina má zcela zkreslené představy o tom, čeho a koho a jak se toto nařízení týká. Zjednodušující pohledy typu „gdpr je o zámkách na skříních“ nebo, „jsem jen kadeřnice, žádná osobní data nespravuji, gdpr se mě netýká“ jsou samozřejmě zcela mylné a mohou se do budoucna velmi nepěkně vymstít. O co tedy jde?
Obecné nařízení - GDPR (General Data Protection Regulation) je nové nařízení Evropského parlamentu 2016/679 (dále jen nařízení), kterým se nařizuje všem organizacím, aby do 25. května 2018 změnily pravidla ochrany osobních údajů dle tohoto nařízení.
Nařízení zpřísňuje pravidla ochrany osobních údajů a zavádí řadu nových povinností, pojmů a zejména sankcí, které začínají platit od 25. května 2018. Do tohoto data musí dotčené subjekty zajistit soulad zpracování osobních dat s tímto nařízením.
Obecné nařízení o ochraně osobních údajů, na jehož přípravě se Česká republika podílela, má celoevropskou působnost a v ČR i v ostatních členských státech EU bude účinné od května 2018.
Dokument popisuje pravidla a způsoby nakládání s osobními údaji fyzických osob ve společnosti. Dokument vychází z potřeb nařízení EP a rady EU 2016/679. Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů, chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů, kdy volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
Tedy velmi jednoduše řečeno i v případě, že kadeřnice zapisuje do notýsku „jen“ objednané klienty, zpracovává tímto jejich osobní údaje a potřebuje mít zpracované gdpr. Jinými slovy, jakmile zapíšete, založíte, nebo jiným způsobem zpracujete nějaký osobní údaj (jméno, příjmení, email, telefon, adresu, ip, fotku, ičo, dič, rč, ….), stáváte se zpracovatelem a podléháte GDPR.
GDPR vychází z praxe, konkrétně z norem řady ISO 27000 a ITIL. Není jednoduché postihnout všechny obory a všechny velkosti společností, proto je nařízeni velmi obecné. V zásadě ale rozděluje společnosti na dvě kategorie - na malé do 250ti zaměstnanců a velké s větším počtem. Tak jako tak se jedná o „malé“ velmi zjednodušené provedení certifikace (samocertifikace) podle iso 27000.
Celé znění nařízení GDPR je možno stáhnout zde: gdpr.pdf
Proces pořízení GDPR dokumentace je z podstaty věci podobný iso certifikaci. Základem je analýza práce s osobními údaji ve společnosti - tedy zejména analýza získávání údajů, zabezpečení procesů, úložišť, techniky atd. Z toho vyjde obraz společnosti a doporučení k nápravě (v případě nálezu nedostatků). Náprava je obvykle v malých společnostech procesní, v rámci současných technických prostředků, nebývá nezbytně nutná investice do techniky (záleží ale na typu zpracovávaných údajů a riziku jejich zneužití).
Cenově je možno funkční GDPR pro malé společnosti (10-50 zaměstnanců) pořídit již od 25000,- Kč, pro OSVČ a mikrospolečnosti bez zaměstnanců pak již od 5000,- Kč. Obsahem je podrobná analýza včetně popisu nedostatků, návrhu řešení a přehledové poimplementační školení (ZDE). Pro podrobnější informace nás neváhejte kontaktovat: info@vilemtel.cz