HORIZONT ročník 2018
GDPR - General Data Protection Regulation
GDPR je evropské Nařízení o ochraně osobních údajů, které sjednocuje a specifikuje, jak by se mělo s osobními údaji fyzických osob správně nakládat. Jeho zavedením se mění a zpřísňují pravidla nakládání s osobními údaji a jeho cílem je především chránit práva fyzických osob.
Pokud se člověk podívá na dnešní vývoj společnosti a rozvoj online světa, kde se velice často stává, že jsou databáze osobních údajů prodávány za velké peníze různým agenturám (ty pak lidem telefonují kvůli svým nabídkám, aniž by tito lidé tušili, kde ony zjistili jejich telefonní číslo), tak je GDPR ve své podstatě pouze logickým krokem ve snaze ochránit osobní data fyzických osob v době neustále sílícího „kybersvěta“, kdy se data stávají vysoce ceněnou komoditou.
Zde lze spatřit jeden z přínosů GDPR a to ten, že lidem vrací právo rozhodovat o tom, jaké osobní údaje a v jakém rozsahu o nich jsou zpracovávány a k jakým konkrétně definovaným účelům jsou používány.
Zásady GDPR proto musí do svých vnitřních procesů implementovat každý podnik, státní instituce, ale i například e-shopy nebo praktičtí lékaři a další instituce a organizace zpracovávající osobní data svých zákazníků, klientů či pacientů. Týkají se tedy všech, kdo nějakým způsobem nakládají s osobními údaji. Výjimkou z tohoto nařízení jsou soukromé osoby, které získávají a zacházejí s těmito údaji výhradně pro svoji vlastní privátní potřebu.
Všichni, pro koho je nařízení GDPR platné, musejí kompletně zrevidovat a detailně projít své databáze a říci si, které údaje jsou důležité k dalšímu zpracovávání a které ne. Jednou z hlavních myšlenek GDPR je totiž co největší minimalizace zpracovávaných dat. Jednoduše řečeno to, co není potřeba shromažďovat, odstranit.
Důležitým krokem potom je pro ty, kteří zpracovávají osobní údaje, mít pro toto zpracování konkrétní, nejlépe zákonný důvod. Pokud tomu tak není, musejí buď získat souhlas ke zpracování od osoby, jejíž data hodlá zpracovávat, anebo jsou povinni tyto údaje ze svých databází vymazat.
Zásadní povinností ovšem je, o celé této problematice týkající se sbírání, zpracovávání, uchovávání a popřípadě vymazávání osobních údajů, informovat ty, jichž se to přímo týká, podle GDPR definované jako tzv. subjekty údajů. A mimo jiné také srozumitelně informovat o jejich právech, která jim GDPR přiřklo. Právě z tohoto důvodu mnoha lidem proto nyní přichází velké množství zpráv, emailů a dopisů, kde se píše o tom, zda souhlasí ze zpracováním svých osobních údajů, jsou tam zmiňovány důvody zpracování, komu budou dále údaje poskytnuty a také seznámení s jejich právy.
Naše firma z důvodu správné implementace GDPR a dodržení jeho pravidel vytvořila všeobecnou směrnici a také věstník generálního ředitele. V nich lze mimo jiné nalézt vysvětlení a popis všech zásad ochrany osobních údajů a detailní popis našich činností, které se týkají právě tohoto zpracování. Vše je k dispozici k nahlédnutí na firemním intranetu.
Pro nás jako firmu bylo důležité ujasnit si, která data jsou potřebná, a která nikoli, provést analýzu zpracovávaných dat a následně vytvořit výše zmíněné dokumenty jako sumarizaci pravidel, kterými se řídíme. Po těchto procesech jsme však zjistili, že celkový chod firmy TOS VARNSDORF a.s. toto Nařízení významným způsobem neovlivní, údaje zaměstnanců jsme dostatečně chránili a chráníme i nyní. Pravidla ochrany dat jsme ale více zpřísnili, námi sbírané údaje jsme do co nejvyšší možné míry minimalizovali a vydáním dokumentů jsme se co nejvíce snažili naplnit informační povinnost o skutečnosti existence pravidel GDPR.
Bc. Středová
