Zadejte hledaný výraz...

GDPR se blíží

Dnes mě došel od Zoneru News o GDPR a zarazila mě jedna věc a to
Princip zodpovědnosti
GDPR zavádí tzv. princip zodpovědnosti. Ten ukládá povinnost správcům a zpracovatelům údajů zavést stanovená opatření. Opatření se budou týkat těchto oblastí:
Implementace záměrné a nezbytné ochrany dat.
Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).
Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). Jeho úkolem bude zajistit, aby aktivity firem a dalších subjektů, které zpracovávají osobní údaje jako správci, byly v souladu s GDPR. Fakticky by měl představovat odborníka na ochranu osobních údajů, který bude poskytovat odborné poradenství a komunikovat s Úřadem pro ochranu osobních údajů.
Zavedení tzv. pseudonymizace osobních údajů. Jedná se o proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.
Vedení záznamů o činnostech zpracování. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Prakticky to znamená, že se tato povinnost bude týkat naprosté většiny subjektů.
Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
Každý správce a zpracovatel osobních údajů bude mít povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.
Všechny záznamy o činnostech musí obsahovat následující informace:
  • jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
  • účely zpracování
  • popis kategorií subjektů údajů a kategorií osobních údajů
  • kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
  • informace o mezinárodním předávání osobních údajů
  • lhůty pro výmaz jednotlivých kategorií údajů
  • popis technických a organizačních opatření
To si jako budu muset někoho platit? Ať jdou do prdele. Z čeho mám ty jejich blbosti platit!
celý text zde https://www.inshop.cz/seo-ppc-optimalizace/seo-tipy-triky/gdpr-se-blizi?utm_source=inshop&utm_medium=news&utm_campaign=leden2018
16. 1. 2018 09:53:46
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323970
dusivk
verified
rating uzivatele
(4 hodnocení)
16. 1. 2018 10:27:30
Malí živnostníci a podnikatelé jsou překážkou (cenovou)! pro rozvoj konglomerátů a monopolů. Zakázat jim činnost nejde (máme demokracii a svobodu), tak se jim hází klacky pod nohy a zavádějí nákladná povinná opatření. Globalizace, kterou nám EU nanucuje. Najde se ještě někdo, kdo neschvaluje nacionalizmus a izolacionizmus?
16. 1. 2018 10:27:30
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323969
Martin
verified
rating uzivatele
(62 hodnocení)
16. 1. 2018 10:28:27
Teď nevím přesně, ale toho pověřence musíš mít firmy tuším nad 250 zaměstnanců. Ono to zase tak horký není.
16. 1. 2018 10:28:27
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323968
Zoner to formuloval dost nešťastně.
Povinnost pověřence jmenovat nastává ve třech případech, pokud:
  • zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
O tom co je a co není rozsáhlé zpracování osobních údajů se dočtete např. na https://www.gdpr.cz/gdpr/dpo/
BTW: Nevím, kde se vzala informace o hranici 250 zaměstnanců.
16. 1. 2018 10:34:55
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323967
Martin
verified
rating uzivatele
(62 hodnocení)
16. 1. 2018 12:42:24
Byl jsem na jednom školení a tak něco takového říkali. A když si dáš do googlu "grpr 250 zaměstnanců", tak o tom píšou na dost stránkách. Ale jestli je to tak přímo v té směrnici nevím.
16. 1. 2018 12:42:24
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323966
Polovina odkazů tvrdí, že hranice 250 zaměstnanců se vztahuje k "povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování". Viz. např. https://www.gdpr.cz/gdpr/povinnosti/ a https://www.gdpr.cz/gdpr/heslo/zaznamy-o-cinnostech-zpracovani/.
Další polovina tvrdí, že hranice se vztahuje ke jmenování DPO.
Co je tedy pravda? V nařízení 2016/679 jsou dvě zmínky o hranici 250 zaměstnanců. Ani u jedné nevidím souvislost se jmenováním DPO. Na základě čeho tedy vznikla výjimka, nejmenovat DPO pro malé firmy?
Bod 13:
Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému
pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským
subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým
osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a
zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a
rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých
členských států. Řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Unii nebyl
z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů omezen ani
zakázán. Aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje toto
nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Kromě toho jsou
orgány a instituce Unie, členské státy a jejich dozorové úřady podporovány v tom, aby specifické potřeby
mikropodniků a malých a středních podniků zohledňovaly při uplatňování tohoto nařízení. Pojem mikropodniky
a malé a střední podniky by měl vycházet z článku 2 přílohy doporučení Komise 2003/361/ES ( 1 )
Článek 30:
1.
Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy
obsahují všechny tyto informace:
......
2.
Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných
pro správce, jež obsahují:
......
5.
Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně
než 250 osob
, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů,
zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo
osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
16. 1. 2018 13:55:05
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323965
Mě na GDPR školení také říkali že není potřeba mít GDRP pověřence do 250 zaměstnanců. Některé firmy prý toho prezentují jako že je, protože by to pro mě byl vejvar, malé firmy jim budou platit a oni nebudou muset vlastně nic dělat, protože to není potřeba.
Zároveň je prý součástí GDPR směrnice i doporučení, aby kontrolní úřad řešil přestupky malých a středních firem (do 250 lidí) převážně domluvou.
16. 1. 2018 14:05:05
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323964
co to bude příště? evidence kolik Kg papíru jsi koupil, kolik spotřeboval, kolik vytřídil s poviností zjistit od zákazníka co s tím papírem udělal + mu dáš školení že má třídit papír
Kdo to nedodá dostane pokud 1000eur
16. 1. 2018 14:10:19
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323963
David Koudela
verified
rating uzivatele
(6 hodnocení)
16. 1. 2018 14:13:10
Napsal colbi;1436447
co to bude příště? evidence kolik Kg papíru jsi koupil, kolik spotřeboval, kolik vytřídil s poviností zjistit od zákazníka co s tím papírem udělal + mu dáš školení že má třídit papír
Kdo to nedodá dostane pokud 1000eur
To už tu dávno je :D Ekokom
16. 1. 2018 14:13:10
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323962
Napsal dkoudela;1436449
To už tu dávno je :D Ekokom
no já spíš mířil na menší eshopy ne na velké firmy :)
16. 1. 2018 14:15:29
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323961
HonzaD
verified
rating uzivatele
17. 1. 2018 07:43:36
No jestli by mi někdo na školní na GDPR řekl, že DPO není třeba pro firmy pod 250 zaměstnanců tak bych asi požadoval vrácení peněz. Přečtěte si to nařízení. Ta hranice 250 zaměstntnců se týká povinnosti správců nebo zpracovatelů vést záznamy o činnostech zpracování. Požadavky na DPO jsou v nařízení specifikovány taky docela jasně.
17. 1. 2018 07:43:36
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323960
lawyer2
verified
rating uzivatele
18. 1. 2018 09:22:34
Zoner zase straší, aby si nahnal klienty.
Záměrná a standardní ochrana - to je obecný požadavek na to, aby se prostě správce choval rozumně a zvolil opatření směřující k ochraně údajů před zneužitím či ztrátou a k tomu aby nezpracovával údaje které nepotřebuje.
Posouzení vlivu - to se musí dělat jen když jde o vysoce rizikové zpracování údajů (monitorují se lidi, pracuje se s citlivými údaji, rozsáhle se profiluje apod.).
Pověřenec - toho musí mít jen správci vykonávající veřejnou moc, monitorující rozsáhle lidi, nebo pracující rozsáhle s citlivými údaji (limit 250 zaměstnanců tam není)
Pseudonymizace - o tom mluví GDPR jen jako o jednom z možných opatření k ochraně údajů (které si volí správce), nikde tam není povinnost pseudonymizovat
Záznamy o činnostech zpracování - ty musí vést je správce který má víc než 250 zaměstnanců (výjimkou je, když zpracování znamená vysoká rizika - viz výše)
Konzultace - není konstituována jako obecná povinnost - to by se z toho UOOU zbláznil.
Dozor - ano, k tomu bude docházet, ale kapacity úřadu jsou velmi limitované, takže k tomu bude docházet jen v závažných případech.
18. 1. 2018 09:22:34
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323959
skranc
verified
rating uzivatele
(5 hodnocení)
19. 1. 2018 00:11:25
Napsal lawyer2;1436962
Zoner zase straší, aby si nahnal klienty.
Záměrná a standardní ochrana - to je obecný požadavek na to, aby se prostě správce choval rozumně a zvolil opatření směřující k ochraně údajů před zneužitím či ztrátou a k tomu aby nezpracovával údaje které nepotřebuje.
Posouzení vlivu - to se musí dělat jen když jde o vysoce rizikové zpracování údajů (monitorují se lidi, pracuje se s citlivými údaji, rozsáhle se profiluje apod.).
Pověřenec - toho musí mít jen správci vykonávající veřejnou moc, monitorující rozsáhle lidi, nebo pracující rozsáhle s citlivými údaji (limit 250 zaměstnanců tam není)
Pseudonymizace - o tom mluví GDPR jen jako o jednom z možných opatření k ochraně údajů (které si volí správce), nikde tam není povinnost pseudonymizovat
Záznamy o činnostech zpracování - ty musí vést je správce který má víc než 250 zaměstnanců (výjimkou je, když zpracování znamená vysoká rizika - viz výše)
Konzultace - není konstituována jako obecná povinnost - to by se z toho UOOU zbláznil.
Dozor - ano, k tomu bude docházet, ale kapacity úřadu jsou velmi limitované, takže k tomu bude docházet jen v závažných případech.
Jen k té konzultaci. Povinnost to je, ale pouze v případě, že po analýze rizik zpracování vychází i po provedení opatření vysoké zbytkové riziko.
Jinak potvrzuji, že pověřenec nemá nic společného s počtem zaměstnanců. Je to blábol, který se někde objevil a nestále se kopíruje.
Pozor ovšem všechny marketingové agentury.......práce marketingových agentur, které se starají o kampaně více klientů je přímo zmíněna ve vodítku WP29 jako činnost vyžadující jmenování DPO. Osobně s tím tedy moc nesouhlasím, ale je to tam.
19. 1. 2018 00:11:25
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323958
Limit 250 zaměstnanců se týká povinnosti dělat Záznamy o činnostech zpracování osobních údajů
Článek 30
Záznamy o činnostech zpracování
5. Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS
---------- Příspěvek doplněn 24.01.2018 v 19:47 ----------
Ohledně jmenování DPO
Pověřenec pro ochranu osobních údajů
Článek 37
Jmenování pověřence pro ochranu osobních údajů
1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a)
zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
b)
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
c)
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS
24. 1. 2018 19:44:00
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323957
darksir
verified
rating uzivatele
(1 hodnocení)
24. 1. 2018 19:50:29
Nevíte někdo, kdo tu kok*tinu vymyslel a prosadil? Jmenovitě.
24. 1. 2018 19:50:29
https://webtrh.cz/diskuse/gdpr-se-blizi/#reply1323956
Pro odpověď se přihlašte.
Přihlásit