Co je dodržování nařízení GDPR?

Ve stále více propojeném světě se dodržování nařízení GDPR stalo klíčovou prioritou pro firmy, které zpracovávají osobní údaje bez ohledu na to, kde fungují. Nařízení GDPR bylo zavedeno v roce 2018 a jedná se o nařízení v rámci práva EU, které se zaměřuje na ochranu osobních údajů a soukromí osob v Evropské unii. Nedodržování nařízení GDPR může vést ke značným postihům, a proto je nezbytné, aby firmy všech velikostí nařízení dodržovaly.

Primárním cílem nařízení GDPR je chránit osobní údaje a poskytnout lidem větší kontrolu nad jejich osobními informacemi online. Oblast působnosti nařízení GDPR je rozsáhlá a vztahuje se na všechny firmy, které zpracovávají osobní údaje obyvatel EU, bez ohledu na jejich fyzické umístění.

Dodržování nařízení GDPR není jen právní požadavek – stal se z něj obchodní imperativ. Organizace, které dodržují nařízení GDPR, prokazují závazek k ochraně osobních údajů, který pomáhá posilovat důvěru zákazníků, zaměstnanců a partnerů. Dodržování předpisů také pomáhá firmám vyhnout se velkým finančním postihům spojených s únikem údajů a nedodržováním nařízení GDPR.

Obecné nařízení o ochraně osobních údajů bylo implementováno 25. května 2018, kdy byla nahrazena směrnice o ochraně osobních údajů 95/46/EC. Byla vytvořena v reakci na rychlou digitalizaci údajů a potřebu řešit obavy týkající se ochrany osobních údajů. Komplexní rámec nařízení GDPR je určený k posílení zákonů na ochranu osobních údajů v celé EU.

Primárním cílem nařízení GDPR je chránit osobní údaje a poskytnout osobám větší kontrolu nad jejich informacemi. Oblast působnosti nařízení GDPR je rozsáhlá a vztahuje se na všechny firmy, které zpracovávají osobní údaje obyvatel EU, bez ohledu na jejich fyzické umístění.

Klíčové principy
Nařízení GDPR zavedlo sedm principů ochrany osobních údajů, které musí organizace sídlící nebo podnikající v EU dodržovat:

1. Zákonnost, spravedlivost a transparentnost: Údaje musí být zpracovány způsobem, který je zákonný, spravedlivý a transparentní.
2. Omezení účelu: Údaje by měly být shromažďovány a používány pouze pro konkrétní účely.
3. Minimalizace údajů: Shromažďované údaje by měly být omezeny na to, co je nezbytné.
4. Přesnost: Osobní údaje musí být přesné a aktuální.
5. Omezení uchování: Osobní údaje by se neměly uchovávat déle, než je nezbytné.
6. Integrita a důvěrnost: Osobní údaje musí být zpracovány bezpečně, aby byly chráněny před neoprávněným nebo nezákonným zpracováním, náhodnou ztrátou nebo poškozením.
7. Odpovědnost: Organizace musí být schopné prokázat dodržování všech těchto principů.

Nařízení GDPR dává občanům EU významnou kontrolu nad jejich osobními údaji tím, že stanoví jasná práva na ochranu jejich soukromí. Nařízení GDPR uděluje občanům EU několik práv k jejich osobním údajům, včetně následujících práv:
 

• Právo být informováni: Osoby mají právo být informovány o shromažďování a používání svých osobních údajů, včetně podrobností o tom, proč jsou shromažďovány, jak dlouho se budou uchovávat a s kým budou sdíleny.

• Právo na přístup: Osoby mohou požádat o přístup ke svým osobním údajům a získat jejich kopii, což jim umožní pochopit, jak a kým jsou jejich údaje zpracovány.

• Právo na nápravu: Pokud jsou některé osobní údaje nepřesné nebo neúplné, mohou osoby požádat o nápravu a tím zajistit, že jsou jejich informace přesné a aktuální.

• Právo na vymazání (právo být zapomenut): Za určitých okolností mají osoby právo požádat o odstranění svých osobních údajů a odebrat své informace ze systémů organizace, pokud již nejsou nezbytné nebo pokud odvolají svůj souhlas.

• Právo na omezení zpracování: Osoby mohou omezit způsob zpracování svých osobních údajů, zejména v případě, když zpochybní jejich přesnost nebo pokud tyto údaje potřebují pro právní nároky.

• Právo na přenositelnost údajů: Osoby mohou získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci údajů, pokud se rozhodnou.

• Právo vznést námitku: Osoby mají právo vznést námitku proti zpracování svých osobních údajů, zejména pokud jsou používány pro přímý marketing nebo pokud se jedná o specifickou situaci, která vyžaduje ochranu osobních údajů.
  
  

Tato práva společně zajišťují, že osoby mají jasný přehled o svých osobních údajích a kontrolu nad nimi, což posiluje transparentnost a odpovědnost organizací. Nařízení GDPR kromě těchto práv také stanuje přísné pokyny, jak organizace musí získávat a spravovat souhlasy osob před zpracováním jejich údajů.

Požadavky na souhlas
Nařízení GDPR vyžaduje, aby organizace před shromažďováním a ukládáním údajů získaly od osob výslovný souhlas. Tento souhlas musí být svobodně udělený, konkrétní, informovaný a jednoznačný, aby osoby plně chápaly, s čím souhlasí, aby bylo shromažďováno.

Kromě pokynů pro vyjádření souhlasu klade nařízení GDPR důraz na proaktivní opatření na ochranu osobních údajů. U vysoce rizikových činností zpracování musí organizace provádět posouzení vlivu na ochranu osobních údajů, aby posoudily a zmírnily potenciální rizika pro práva a svobody osob.

Posouzení vlivu na ochranu osobních údajů (DPIA)
Pro všechny operace zpracování, které by mohly výrazně ovlivnit práva a svobody osob, je posouzení vlivu na ochranu osobních údajů povinné. Toto posouzení vyhodnocuje rizika spojená se zpracováním osobních údajů a uvádí opatření ke zmírnění těchto rizik, ochraně osobních údajů osob a zajištění dodržování předpisů.

Počáteční posouzení a analýza nedostatků
Dosažení dodržování nařízení GDPR začíná důkladným posouzením stávajících postupů v oblasti zpracování údajů v organizaci. To zahrnuje identifikaci a zmapování všech činností zpracování dat, včetně shromažďování, ukládání, sdílení a odstraňování dat. Cílem je získat komplexní přehled o tom, kde se nacházejí osobní údaje, jak proudí organizací a kdo k nim má přístup.

Po shromáždění informací o současných postupech zpracování údajů je dalším krokem provedení analýzy nedostatků. Tato analýza porovnává stávající postupy organizace s požadavky nařízení GDPR s cílem zjistit oblasti, ve kterých jsou nedostatky. Mezi běžné nedostatky může patřit absence jasných záznamů o zpracování dat, nevhodné mechanismy souhlasu nebo nedostatečná bezpečnostní opatření.

Řešení těchto nedostatků je zásadní pro dodržování nařízení GDPR a často vyžaduje spolupráci napříč odděleními, jako jsou IT, právní a personální oddělení, k vytvoření ucelené strategie dodržování předpisů. Zjištěním současného stavu organizace mohou firmy vytvořit strukturovaný akční plán k odstranění nedostatků v dodržování předpisů a posílení opatření na ochranu osobních údajů.

Mapování dat a dokumentace
Mapování dat je nezbytnou součástí dodržování nařízení GDPR, protože poskytuje jasné vizuální znázornění pohybu dat v rámci organizace. Tento proces zahrnuje trasování jednotlivých osobních údajů od jejich shromažďování přes uložení, zpracování, sdílení až po odstranění. Díky mapování datových toků mohou organizace identifikovat nepotřebné aktivity zpracování údajů, odhalit datová sila a zajistit, aby byly shromažďovány a uchovávány pouze relevantní údaje. Mapování dat navíc pomáhá firmám odhalit potenciální ohrožení zabezpečení, zejména při přenosu údajů mezi systémy nebo třetím stranám.

Kromě mapování datových toků nařízení GDPR vyžaduje, aby organizace udržovaly podrobné záznamy o aktivitách zpracování údajů. Tyto záznamy by měly zahrnovat účel shromažďování údajů, právní základy pro zpracování, doby uchovávání údajů a všechny třetí strany zapojené do zpracování údajů.

Implementace zásad ochrany osobních údajů
Zavedení robustních zásad ochrany osobních údajů je zásadní pro dodržování nařízení GDPR. Tyto zásady popisují způsob zpracování osobních údajů v rámci organizace a zahrnují oblasti, jako je přístup k údajům, jejich uchovávání a zabezpečení. Dobře sestavená zásada ochrany osobních údajů poskytuje pokyny pro přijatelné používání údajů, pomáhá zaměstnancům pochopit jejich roli při udržování zabezpečení údajů a stanovuje standard, jak organizace plní své povinnosti vyplývající z nařízení GDPR. Efektivní zásady ochrany osobních údajů by měly být přístupné, jasné a pravidelně kontrolované, aby byly i nadále v souladu s vyvíjejícími se požadavky a technologiemi ochrany osobních údajů.

Implementace těchto zásad napříč organizací vyžaduje školení. Zaměstnanci na všech úrovních by měli rozumět principům GDPR a měli by být vedeni k dodržování osvědčených postupů při nakládání s údaji. Tím, že organizace zajistí, aby zaměstnanci znali důležitost ochrany osobních údajů a svou roli v ní, mohou snížit riziko náhodného úniku údajů. Tento strukturovaný přístup nejen podporuje dodržování nařízení GDPR, ale také přispívá k celkové ochraně údajů.

Pro americké společnosti přináší dodržování nařízení GDPR další komplikace. Organizace mimo EU nemusí být tak dobře obeznámeny se standardy nařízení GDPR a dodržování nařízení vyžaduje splnění přísných povinností i bez fyzické přítomnosti v Evropě. Americké společnosti, které nakládají s osobními údaji občanů EU, musí určit zástupce EU, řídit se zákony o transatlantickém předávání údajů a přizpůsobit své procesy vysokým standardům GDPR.

K dispozici je celá řada nástrojů a zdrojů informací, které organizacím, včetně společností sídlících v USA, pomohou dosáhnout a udržet dodržování nařízení GDPR, například software pro ochranu osobních údajů, kontrolní seznamy pro dodržování nařízení a školicí programy.

Pokud chcete zajistit trvalé dodržování nařízení GDPR, zvažte implementaci následujícího kontrolního seznamu:


Pravidelné audity a monitorování:
Provádějte pravidelné audity svých aktivit zpracování osobních údajů, abyste identifikovali případné odchylky od požadavků nařízení GDPR. Průběžně monitorujte své systémy a opatření zabezpečení údajů.

Školení a informační programy:
Poskytněte svým zaměstnancům komplexní školení týkající se dodržování nařízení GDPR. Zajistěte, že všichni zaměstnanci rozumí svým rolím a povinnostem při ochraně osobních údajů.

Reakce na úniky dat a pokuty:
Vytvořte robustní plán reakce na incidenty, který rychle vyřeší úniky dat a minimalizuje jejich dopad. Buďte připraveni na případné pokuty a sankce za nedodržení nařízení.

V neustále se vyvíjejícím prostředí ochrany osobních údajů může být dosažení a udržování dodržování nařízení GDPR pro firmy všech velikostí složitým úkolem, který vyžaduje velké množství zdrojů. Vzhledem k přísným předpisům, které mají chránit osobních údajů osob, potřebují společnosti spolehlivá řešení, která podpoří jejich úsilí o dodržování nařízení na všech úrovních. Aby pro vás bylo dodržování nařízení snazší, Microsoft nabízí nástroje a řešení, jako je Microsoft Purview and další řešení pro zabezpečení dat, které vám pomohou efektivně se orientovat v povinnostech v oblasti ochrany osobních údajů.

Díky integraci těchto nástrojů mohou firmy zjednodušit své procesy dodržování nařízení, automatizovat klíčové úlohy vykazování a zlepšit celkové zabezpečení dat, čímž se sníží rizika spojená s nedodržením nařízení.