Lze nařízení GDPR obejít?
GDPR nařízení, které vstoupí v platnost již 25. 5. 2018 je velmi přísné a hrozí astronomickými sankcemi. Existují minimálně dva přístupy, jak s ním pracovat. Buď budete zodpovědný správce osobních údajů, nebo zvolíte princip založený na riziku
GDPR nařízení, které vstoupí v platnost již 25. 5. 2018 je velmi přísné a hrozí astronomickými sankcemi. Existují minimálně dva přístupy, jak s ním pracovat. Buď budete zodpovědný správce osobních údajů, nebo zvolíte princip založený na riziku. Buď budete do detailů řešit všechny podrobnosti nařízení a tím eliminovat riziko selhání nebo si připustíte určitou míru rizika a na základě povahy zpracovávaných osobních údajů zvolíte cestu rizika.
Princip odpovědnosti správce
Při aplikaci tohoto principu je správce osobních údajů plně zodpovědný za dodržení zásad jejich zpracování. Musí dodržet všechny povinnosti a soulad s nimi musí být schopen doložit.
Údaje ve vztahu k subjektu údajů musí být zpracovány zákonným způsobem. Tedy transparentně, musí být sbírána pro výslovně vyjádřené a legitimní účely. Osobní údaje musí být zpracovány tak, aby bylo zajištěno jejich zabezpečení včetně ochrany před jejich poškozením či ztrátou. Správci, kteří volí tuto cestu musí mít všechny procesy doložitelné a definované například v interních kodexech či předpisech.
Princip rizika
Správci osobních údajů musí brát v potaz rizika, které potenciálně přinese případná ztráta nebo zneužití údajů pro práva a svobody fyzických osob, jimž údaje patři. Laicky řečeno, jiné důsledky bude mít pokud se neoprávněné osoby dostanou k seznamu křestních jmen vašich zákazníků nebo přihlašovacím údajům do online bankovnictví. Správci musí tedy zvážit povahu, katgorii a rozsah zpracovávaných dat a jejich dopad na práva a svobody fyzických osob při případné ztrátě či zneužití. Správci dat tomu musí přizpůsobit i zabezpečení osobních údajů. Zpracovávají-li údaje, které při případném úniku nijak neohrozí jejich vlastníky, mohou být zabezpečovací parametry a technologie jednodušší než když jsou zpracvávána citlivá data s velkou mírou dopadu na jejich vastníky.
Existuje několik kategorií osobních údajů, které mohou být dotčeny více. Zvláštní kategorie osobních údajů budou nést vždy vyšší riziko. Do zvláštní kategorie osobních údajů řadíme např. údaje o zdravotním stavu nebo přihlašovací údaje. Při porušení zabezpečení se bude posuzovat, zda k porušení došlo z nedbalosti nebo úmyslně.
Posouzení vlivu na ochranu osobních údajů
Pokud by zpracování osobních údajů mohlo potenciálně představovat vysoké riziko, budou správci povinní ještě před začátkem zpracování provést posouzení vlivu na ochranu osobních údajů, je nutné konzultovat s pověřencem pro ochranu osobních údajů, má-li ho daný subjekt. Pokud z posouzení vyplyne, že by zpracování osobních údajů mělo za následek vysoké riziko, v případě že dojde ke ztrátě či sehání zabezpečení údajů, musí se správce údajů obrátit na Úřad pro ochranu osobních údajů a riziko korigovat.
Správci údajů si musí uvědomit, s jakými daty zacházejí a jak cenné osobní údaje jsou, případně jaké rizika nese jejich ztráta či zneužití. GDPR se tedy nedá obejít, dá se však zvolit, v závislosti na rizikovosti zpracovávaných dat, jednodušší opatření.
Jak jste na tom vy? Jaké kategorie osobních údajů zpracováváte? Pokud si nejste jisti, obraťte se na nás, poradíme vám.