GDPR se blíží

16. 1. 2018 09:53:46

Dnes mě došel od Zoneru News o GDPR a zarazila mě jedna věc a to

Princip zodpovědnosti

GDPR zavádí tzv. princip zodpovědnosti. Ten ukládá povinnost správcům a zpracovatelům údajů zavést stanovená opatření. Opatření se budou týkat těchto oblastí:

Implementace záměrné a nezbytné ochrany dat.

Vypracování posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment).

Jmenování pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer). Jeho úkolem bude zajistit, aby aktivity firem a dalších subjektů, které zpracovávají osobní údaje jako správci, byly v souladu s GDPR. Fakticky by měl představovat odborníka na ochranu osobních údajů, který bude poskytovat odborné poradenství a komunikovat s Úřadem pro ochranu osobních údajů.

Zavedení tzv. pseudonymizace osobních údajů. Jedná se o proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejného jednotlivce, aniž by bylo nutné znát jeho totožnost.

Vedení záznamů o činnostech zpracování. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Prakticky to znamená, že se tato povinnost bude týkat naprosté většiny subjektů.

Konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Každý správce a zpracovatel osobních údajů bude mít povinnost spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.

Všechny záznamy o činnostech musí obsahovat následující informace:

jméno a kontaktní údaje správce a zpracovatele včetně jména DPO
účely zpracování
popis kategorií subjektů údajů a kategorií osobních údajů
kategorie příjemců, kterým byly nebo budou údaje zpřístupněny
informace o mezinárodním předávání osobních údajů
lhůty pro výmaz jednotlivých kategorií údajů
popis technických a organizačních opatření

To si jako budu muset někoho platit? Ať jdou do prdele. Z čeho mám ty jejich blbosti platit!

celý text zde https://www.inshop.cz/seo-ppc-optimalizace/seo-tipy-triky/gdpr-se-blizi?utm_source=inshop&utm_medium=news&utm_campaign=leden2018

16. 1. 2018 09:53:46

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323970

dusivk

(4 hodnocení)

16. 1. 2018 10:27:30

Malí živnostníci a podnikatelé jsou překážkou (cenovou)! pro rozvoj konglomerátů a monopolů. Zakázat jim činnost nejde (máme demokracii a svobodu), tak se jim hází klacky pod nohy a zavádějí nákladná povinná opatření. Globalizace, kterou nám EU nanucuje. Najde se ještě někdo, kdo neschvaluje nacionalizmus a izolacionizmus?

16. 1. 2018 10:27:30

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323969

Martin

(62 hodnocení)

16. 1. 2018 10:28:27

Teď nevím přesně, ale toho pověřence musíš mít firmy tuším nad 250 zaměstnanců. Ono to zase tak horký není.

16. 1. 2018 10:28:27

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323968

Lukáš Hlaváč

(3 hodnocení)

16. 1. 2018 10:34:55

Zoner to formuloval dost nešťastně.

Povinnost pověřence jmenovat nastává ve třech případech, pokud:

zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů),
hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které vyžadují rozsáhlé pravidelné a systematické monitorování občanů,
hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

O tom co je a co není rozsáhlé zpracování osobních údajů se dočtete např. na https://www.gdpr.cz/gdpr/dpo/

BTW: Nevím, kde se vzala informace o hranici 250 zaměstnanců.

16. 1. 2018 10:34:55

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323967

Martin

(62 hodnocení)

16. 1. 2018 12:42:24

Byl jsem na jednom školení a tak něco takového říkali. A když si dáš do googlu "grpr 250 zaměstnanců", tak o tom píšou na dost stránkách. Ale jestli je to tak přímo v té směrnici nevím.

16. 1. 2018 12:42:24

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323966

Lukáš Hlaváč

(3 hodnocení)

16. 1. 2018 13:55:05

Polovina odkazů tvrdí, že hranice 250 zaměstnanců se vztahuje k "povinnost správců nebo zpracovatelů vést záznamy o činnostech zpracování". Viz. např. https://www.gdpr.cz/gdpr/povinnosti/ a https://www.gdpr.cz/gdpr/heslo/zaznamy-o-cinnostech-zpracovani/.

Další polovina tvrdí, že hranice se vztahuje ke jmenování DPO.

Co je tedy pravda? V nařízení 2016/679 jsou dvě zmínky o hranici 250 zaměstnanců. Ani u jedné nevidím souvislost se jmenováním DPO. Na základě čeho tedy vznikla výjimka, nejmenovat DPO pro malé firmy?

Bod 13:

Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému

pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským

subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým

osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a

zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a

rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých

členských států. Řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Unii nebyl

z důvodů souvisejících s ochranou fyzických osob v souvislosti se zpracováním osobních údajů omezen ani

zakázán. Aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje toto

nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Kromě toho jsou

orgány a instituce Unie, členské státy a jejich dozorové úřady podporovány v tom, aby specifické potřeby

mikropodniků a malých a středních podniků zohledňovaly při uplatňování tohoto nařízení. Pojem mikropodniky

a malé a střední podniky by měl vycházet z článku 2 přílohy doporučení Komise 2003/361/ES ( 1 )

Článek 30:

Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy

obsahují všechny tyto informace:

......

Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných

pro správce, jež obsahují:

......

Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně

než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů,

zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo

osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

16. 1. 2018 13:55:05

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323965

Dominik Hašek

(12 hodnocení)

16. 1. 2018 14:05:05

Mě na GDPR školení také říkali že není potřeba mít GDRP pověřence do 250 zaměstnanců. Některé firmy prý toho prezentují jako že je, protože by to pro mě byl vejvar, malé firmy jim budou platit a oni nebudou muset vlastně nic dělat, protože to není potřeba.

Zároveň je prý součástí GDPR směrnice i doporučení, aby kontrolní úřad řešil přestupky malých a středních firem (do 250 lidí) převážně domluvou.

16. 1. 2018 14:05:05

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323964

Rudolf Procházka

(18 hodnocení)

16. 1. 2018 14:10:19

co to bude příště? evidence kolik Kg papíru jsi koupil, kolik spotřeboval, kolik vytřídil s poviností zjistit od zákazníka co s tím papírem udělal + mu dáš školení že má třídit papír

Kdo to nedodá dostane pokud 1000eur

16. 1. 2018 14:10:19

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323963

David Koudela

(6 hodnocení)

16. 1. 2018 14:13:10

Napsal colbi;1436447
co to bude příště? evidence kolik Kg papíru jsi koupil, kolik spotřeboval, kolik vytřídil s poviností zjistit od zákazníka co s tím papírem udělal + mu dáš školení že má třídit papír
Kdo to nedodá dostane pokud 1000eur

To už tu dávno je :D Ekokom

16. 1. 2018 14:13:10

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323962

Rudolf Procházka

(18 hodnocení)

16. 1. 2018 14:15:29

Napsal dkoudela;1436449
To už tu dávno je :D Ekokom

no já spíš mířil na menší eshopy ne na velké firmy :)

16. 1. 2018 14:15:29

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323961

HonzaD

17. 1. 2018 07:43:36

No jestli by mi někdo na školní na GDPR řekl, že DPO není třeba pro firmy pod 250 zaměstnanců tak bych asi požadoval vrácení peněz. Přečtěte si to nařízení. Ta hranice 250 zaměstntnců se týká povinnosti správců nebo zpracovatelů vést záznamy o činnostech zpracování. Požadavky na DPO jsou v nařízení specifikovány taky docela jasně.

17. 1. 2018 07:43:36

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323960

lawyer2

18. 1. 2018 09:22:34

Zoner zase straší, aby si nahnal klienty.

Záměrná a standardní ochrana - to je obecný požadavek na to, aby se prostě správce choval rozumně a zvolil opatření směřující k ochraně údajů před zneužitím či ztrátou a k tomu aby nezpracovával údaje které nepotřebuje.

Posouzení vlivu - to se musí dělat jen když jde o vysoce rizikové zpracování údajů (monitorují se lidi, pracuje se s citlivými údaji, rozsáhle se profiluje apod.).

Pověřenec - toho musí mít jen správci vykonávající veřejnou moc, monitorující rozsáhle lidi, nebo pracující rozsáhle s citlivými údaji (limit 250 zaměstnanců tam není)

Pseudonymizace - o tom mluví GDPR jen jako o jednom z možných opatření k ochraně údajů (které si volí správce), nikde tam není povinnost pseudonymizovat

Záznamy o činnostech zpracování - ty musí vést je správce který má víc než 250 zaměstnanců (výjimkou je, když zpracování znamená vysoká rizika - viz výše)

Konzultace - není konstituována jako obecná povinnost - to by se z toho UOOU zbláznil.

Dozor - ano, k tomu bude docházet, ale kapacity úřadu jsou velmi limitované, takže k tomu bude docházet jen v závažných případech.

18. 1. 2018 09:22:34

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323959

skranc

(5 hodnocení)

19. 1. 2018 00:11:25

Napsal lawyer2;1436962
Zoner zase straší, aby si nahnal klienty.
Záměrná a standardní ochrana - to je obecný požadavek na to, aby se prostě správce choval rozumně a zvolil opatření směřující k ochraně údajů před zneužitím či ztrátou a k tomu aby nezpracovával údaje které nepotřebuje.
Posouzení vlivu - to se musí dělat jen když jde o vysoce rizikové zpracování údajů (monitorují se lidi, pracuje se s citlivými údaji, rozsáhle se profiluje apod.).
Pověřenec - toho musí mít jen správci vykonávající veřejnou moc, monitorující rozsáhle lidi, nebo pracující rozsáhle s citlivými údaji (limit 250 zaměstnanců tam není)
Pseudonymizace - o tom mluví GDPR jen jako o jednom z možných opatření k ochraně údajů (které si volí správce), nikde tam není povinnost pseudonymizovat
Záznamy o činnostech zpracování - ty musí vést je správce který má víc než 250 zaměstnanců (výjimkou je, když zpracování znamená vysoká rizika - viz výše)
Konzultace - není konstituována jako obecná povinnost - to by se z toho UOOU zbláznil.
Dozor - ano, k tomu bude docházet, ale kapacity úřadu jsou velmi limitované, takže k tomu bude docházet jen v závažných případech.

Jen k té konzultaci. Povinnost to je, ale pouze v případě, že po analýze rizik zpracování vychází i po provedení opatření vysoké zbytkové riziko.

Jinak potvrzuji, že pověřenec nemá nic společného s počtem zaměstnanců. Je to blábol, který se někde objevil a nestále se kopíruje.

Pozor ovšem všechny marketingové agentury.......práce marketingových agentur, které se starají o kampaně více klientů je přímo zmíněna ve vodítku WP29 jako činnost vyžadující jmenování DPO. Osobně s tím tedy moc nesouhlasím, ale je to tam.

19. 1. 2018 00:11:25

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323958

Jiří Grohmann

(2 hodnocení)

24. 1. 2018 19:44:00

Limit 250 zaměstnanců se týká povinnosti dělat Záznamy o činnostech zpracování osobních údajů

Článek 30

Záznamy o činnostech zpracování

5. Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS

---------- Příspěvek doplněn 24.01.2018 v 19:47 ----------

Ohledně jmenování DPO

Pověřenec pro ochranu osobních údajů

Článek 37

Jmenování pověřence pro ochranu osobních údajů

1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:

zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS

24. 1. 2018 19:44:00

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323957

darksir

(1 hodnocení)

24. 1. 2018 19:50:29

Nevíte někdo, kdo tu kok*tinu vymyslel a prosadil? Jmenovitě.

24. 1. 2018 19:50:29

https://webtrh.cz/diskuse/gdpr-se-blizi#reply1323956