Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Aktuální informace o GDPR pro NNO a malé firmy

13. 03. 2018 12:00:00
Výklady nařízení GDPR jsou stále velmi různorodé. Je to dáno jeho obecností, nepochopením, ale zejména komerčními zájmy některých poradenských firem, které v aplikaci GDPR vidí nový zdroj svých příjmů.

Běžné nestátní neziskové organizaci nebo živnostníkovi nepřináší Nařízení Evropského Parlamentu a Rady 2016/679 (GDPR) příliš komplikací. Drtivá většina NNO a malých firem nemusí mít speciální software pro zabezpečení zpracování osobních údajů, nemusí jmenovat pověřence pro ochranu osobních údajů a pokud nemá více než 250 zaměstnanců, nemá ani povinnost vést záznamy o činnostech zpracování osobní údajů.

V České republice toto nařízení z velké části odpovídá právní úpravě podle stávajícího zákona č. 101/2000 Sb., o ochraně osobních údajů. A kdo se tímto zákonem řídí již dnes, nemusí tedy mít z GDPR obavy.

Audit zpracování osobních údajů si zvládne malá organizace udělat sama. V něm jde o to si ujasnit, jaké kategorie osobních údajů organizace zpracovává a k jakému účelu, kdo s nimi pracuje, kde jsou uloženy a jak jsou chráněny. Výstupem pak budou vnitřní směrnice o zpracování osobních údajů, které budou popisovat základní povinnosti organizace - "správce". Mnohé povinnosti jsou stejné nebo velmi podobné těm, které už musíme plnit podle zákona č. 101/2000 Sb., o ochraně osobních údajů.

A které povinnosti to například jsou?

Ujasnit si z jakých zákonných důvodů osobní údaje zpracováváte. Souhlas "subjektu osobních údajů", tedy člověka, kterého se týkají, je jen jedním, nejméně preferovaným z důvodů, jež ke zpracovávání opravňují – nejčastěji totiž půjde o zpracování na základě zákona, zpracování nutné ke splnění smluvních povinností nebo pro účely oprávněných zájmů příslušného správce.

Text tohoto souhlasu je třeba aktualizovat, protože GDPR stanovuje mírně odlišně od současné úpravy podmínky toho, kdy je souhlas musí být jednoznačný, srozumitelný, svobodný, konkrétní a informovaný. Tento doplněný souhlas budou podepisovat až noví klienti, zaměstnanci, dobrovolníci, stávající souhlasy zůstávají platné, pokud jsou svým obsahem a formou v souladu s požadavky GDPR. Mimochodem, víte, že souhlas s pořizováním a zveřejňováním fotografií a videozáznamů už je popsán v občanském zákoníku? Není to tedy také žádná nová povinnost.

Organizace či firma si musí si také uvědomit, jakou kategorii údajů zpracovává. Citlivé údaje, nově zvláštní kategorie údajů, se stejně jako dříve obecně zpracovávat nesmí, vyjma několika účelů v GDPR přímo uvedených. Patří mezi ně mimo jiné i zdravotní a sociální péče. Osobní údaje dětí se smí zpracovávat jen se souhlasem zákonného zástupce. Tady je nutné vyčkat schválení zákona o zpracování osobních údajů, který přesně určí věkovou hranici pro tento souhlas. V návrhu je prozatím stanovena na 13 let, starší děti by tedy mohly souhlas již udělovat samy.

Práva subjektů jsou již také velmi podobně popsána ve stávajícím zákoně č.101/2000 Sb., známe právo na přístup k údajům, na opravu údajů i na výmaz, tedy na "zapomenutí". Nově přibude právo na omezení zpracování a na přenositelnost údajů - zde zdůrazňuji, pokud je to technicky proveditelné.

Pokud pro "správce" osobní údaje někdo zpracovává, je třeba se dohodnout na aktualizaci smlouvy se zpracovatelem, aby její znění odpovídalo nařízením GDPR. Zvláště, pokud jde o přeshraniční zpracovávání. Což mimochodem může být i v případě, že máte údaje uložené na cloudu.

Výstupem z auditu pak bude vnitřní směrnice, popisující všechny procesy zpracování osobních údajů, nezbytnou dobu pro jejich uchování, odpovědné osoby a program jejich proškolování, technologie zpracování, zabezpečení a prevenci rizik, postupy při informování subjektů, a také případně dozorového orgánu, pokud dojde porušení zabezpečení údajů.

Tento text není přesný "návod k použití" ani neměnný výčet povinností. Každá organizace, firma či podnikatel jsou jiní, a to velikostí, činností, počtem zaměstnanců, klientelou a technickým vybavením. Každý se tedy musí novému nařízení přizpůsobit trochu jinak.

Některé změny může ještě přinést nový zákon o zpracování osobních údajů, který nahradí zákon č. 101/2000 Sb. a bude "prováděcím zákonem" GDPR. Nicméně GDPR bude platit, i když tento zákon nebude včas schválen.

Nechejte si poradit, ale nenechte se vystrašit. Informace získávejte od více zdrojů a porovnávejte. Doporučuji je ale získávat od firem a poradců, kteří vám v souvislosti s poskytnutými radami nebudou nabízet nějakou další navazující komerční službu.

Autor: Milada Šnajdrová | úterý 13.3.2018 12:00 | karma článku: 12.02 | přečteno: 1040x


Další články blogera

Milada Šnajdrová

Co se ví o GDPR - zážitky z terénu

Panika kolem GDPR se dá srovnat jen podzimním šílenstvím v bitvě o máslo. Kdekdo se budí nad ránem zbrocený potem, kde našetří nejpozději tak do letošních prázdnin 20 milionů EUR na první pokutu. Ale čest výjímkám!

7.5.2018 v 12:30 | Karma článku: 9.98 | Přečteno: 821 | Diskuse

Milada Šnajdrová

Což takhle řídit stát jako neziskovku

Mezi řízením státu a firmy jsou propastné rozdíly. Přesto se pro ni rozhodlo 18,9 % oprávněných voličů. Proto mne napadlo, jak by to vypadalo, kdyby někdo chtěl řídit stát jako nestátní neziskovou organizaci.

20.11.2017 v 12:30 | Karma článku: 10.02 | Přečteno: 932 |

Milada Šnajdrová

Mýty o neziskovkách - Neziskovky nic nezmůžou

Mýtus: Neziskovky jsou na okraji společnosti. Neziskové organizace nikoho nezajímají. Lidé z neziskovek se mají starat o potřebné a mlčet. Jít k volbám nemá cenu.

16.10.2017 v 12:30 | Karma článku: 9.15 | Přečteno: 684 |

Další články z rubriky Ekonomika

Mikulas Splitek

Hodnotové vs růstové investování

V říjnu budeme společně s Jánem Hájkem, Petrem Čermákem a Danem Gladišem diskutovat o hodnotovém investování. K té příležitosti připravil Honza Šumbera (analytik ČS) už dopředu několik zajímavých otázek.

16.8.2018 v 8:05 | Karma článku: 0.00 | Přečteno: 84 | Diskuse

Josef Barta

Šaškárna po česku aneb jak bavit svět za peníze daňových poplatníků

Humor je kořením života a čím ho je více, tím lépe. Neplatí to ale v případech šaškáren inspekcí a kontrolních úřadů, které to provozují za peníze daňových poplatníků.

14.8.2018 v 14:50 | Karma článku: 39.75 | Přečteno: 2095 | Diskuse

Petr Šindelář

Povinná základní škola pro úplně všechny zatím povinná není

Část známých občanů ráno do práce ani školy běžně nevstává a žádné budíky nepotřebuje. Pro peníze na živobytí si chodí na úřady a bez naděje na lepší život zápasí s nudou. A nechápe, že klíč k řešení spočívá v nich samotných...

13.8.2018 v 9:52 | Karma článku: 35.91 | Přečteno: 1254 | Diskuse

Erik Steinn

Telekomunkačná daň: sebereme zisky a zrušíme aukci.

Chceme lepší telekomunikace! Ano! říká ANO! Nebo NE Sebereme zisky a zrušíme aukci. Zisky dáme na pokrytí. Kmitočty umožní postavit jednu síť, kterou si operáři budou kupovat od státu.

13.8.2018 v 1:35 | Karma článku: 8.31 | Přečteno: 334 |

Richard Neugebauer

Je to prostitutka

Je to o svobodě, ekonomii, vězení pro dlužníky a nostalgii po krásné minulosti a ještě lepší budoucnosti . Aneb dlužníkům už nehrozí "otroctví"...

12.8.2018 v 13:35 | Karma článku: 15.49 | Přečteno: 1102 | Diskuse
Počet článků 15 Celková karma 0.00 Průměrná čtenost 2290

Jsem nezávislý expert na neziskový sektor v České republice, pracuji jako poradkyně pro nestátní neziskové organizace ve všech provozních záležitostech. Jsem také lektorka vzdělávání dospělých a ráda přednáším měkké dovednosti zážitkovou formou. „Všechno má dobrý konec; a pokud to není dobré, ještě to není konec.“





Najdete na iDNES.cz