Obecné nařízení o ochraně osobních údajů (GDPR) je zákon Evropské unie, který upravuje, jak mohou společnosti shromažďovat a používat osobní údaje obyvatel EU. Stanovuje standardy, které pomáhají zajistit, aby tato data nebyla ukládána, manipulována nebo sdílena způsobem, který by jednotlivce vystavil riziku. Zákon také specifikuje, jak musí organizace reagovat v případě úniku dat.
Klíčovým rysem GDPR je to, že kodifikuje soubor konkrétních práv subjektu údajů, která jednotlivcům umožňují podávat organizacím konkrétní žádosti o přístup subjektu údajů. Tento článek podrobně popisuje, co tyto požadavky jsou a jak je vaše organizace musí vyřizovat. Nabízí také řešení, která vám mohou pomoci poskytnout rychlé a přesné reakce na žádosti o údaje GDPR, abyste se mohli vyhnout sankcím ve výši deseti milionů eur nebo více.
Na jaké typy údajů se GDPR vztahuje?
Podle GDPR mají obyvatelé EU specifická práva týkající se osobních údajů, které o nich organizace mají.
Mezi hlavní příklady osobních údajů patří:
- Základní identifikační údaje, jako jsou jména a adresy
- Finanční informace, jako jsou podrobnosti o bankovním účtu
- Osobní charakteristiky, včetně národnosti, data narození a pohlaví
- Zdravotní informace, včetně podrobností o zdravotních stavech a postiženích
- Genetická data, včetně výsledků testů DNA a dalších informací o genetické výbavě
- Informace o zaměstnání, jako jsou počty zaměstnanců a platy
- Online identifikátory, jako jsou uživatelská jména
- Údaje o chování, včetně podrobností o zájmech nebo online aktivitě
- Biometrická data, jako jsou data rozpoznávání obličeje
- Informace o poloze
Jaké jsou fáze žádosti o přístup k datům?
Když jednotlivec podá žádost o přístup k údajům, je samozřejmě prvním krokem, aby organizace zjistila, zda organizace uchovává nebo zpracovává nějaké osobní údaje patřící této osobě. Pokud ne, musí tento negativní nález nahlásit jednotlivci a jejich práce je hotová.
Na druhou stranu, pokud organizace uchovává nebo zpracovává údaje o osobě, musí přejít do druhé fáze a zpracovat konkrétní žádost jednotlivce. V další části jsou vysvětleny typy požadavků a jak s nimi zacházet.
Jaké žádosti mohou jednotlivci vznášet organizacím podle GDPR?
Zde je 6 typů žádostí, které mohou vznést jednotlivci uplatňující svá práva podle GDPR, a co znamenají pro vaši organizaci.
1. Jaké informace o mně máte a proč?
Tento dotaz je založen na dvou právech:
- Právo být informován (články 13 a 14). Obyvatelé EU mají právo na jasné a přesné podrobnosti o tom, jaké osobní údaje o nich organizace shromáždila, i když to znamená vědět, že o nich společnost neshromáždila žádné údaje.
- Právo na přístup (článek 15). Mají také právo vědět, zda a jak jsou jejich osobní údaje zpracovávány, včetně kategorií shromažďovaných údajů, účelu zpracování, způsobů uchovávání a zásad, komu jsou údaje zpřístupněny, jak dlouho budou uchovávány a kde informace byly získány.
2. Máte o mně nesprávné informace. Chci to opravit.
Tento typ žádosti je založen na právu na opravu (článek 16), které vyžaduje, aby organizace zajistily, že všechny osobní údaje, které uchovávají, jsou přesné a aktuální. Subjekty údajů mají právo požadovat opravu nepřesných osobních údajů nebo doplnění neúplných údajů.
Chcete-li zajistit shodu, potřebujete těsnou integraci napříč všemi datovými systémy a procesy, aby data aktualizovaná v jednom systému byla automaticky opravována ve všech ostatních lokalitách.
Vyžádejte si individuální demo: Dosažení a prokázání souladu s GDPR
3. Nechci, abys o mně už držel data. Prosím smažte to!
Tento typ žádosti pokrývá dvě práva:
- Právo na výmaz (právo být zapomenut) (článek 17). Osoba může požádat organizaci, aby odstranila její osobní údaje ze svých záznamů a zdrojů a okamžitě zastavila další šíření údajů. Společnost musí vymazat všechna data, která splňují některé z následujících kritérií:
- Byl odebrán nezákonně
- Již není potřeba
- Byl shromážděn během dětství osoby
- Zobrazuje se online
Organizace může žádost o vymazání zamítnout, pokud porušuje kteroukoli z následujících podmínek:
- Právo na svobodu a projev
- Důvody veřejného zájmu v oblasti veřejného zdraví nebo vědeckého či historického výzkumu
- Zřízení, výkon nebo obhajoba právních nároků nebo právního obvinění
Pamatujte, že i když má vaše společnost povoleno uchovávat osobní údaje, musíte získat jejich souhlas k dalšímu zpracování.
Přečtěte si související blogpost: Právo být zapomenut: zákony EU a obavy USA
- Právo na omezení zpracování (článek 18). Pokud není jasné, zda musí být údaje jednotlivce vymazány, může tato osoba stále požádat o dočasné omezení jejich zpracování, dokud společnost problém nevyřeší, neinformuje jednotlivce a nezíská souhlas. Dodržení tohoto práva GDPR vyžaduje posouzení případ od případu.
4. Chci přenést informace, které o mně máte, jinému poskytovateli služeb.
Právo na přenositelnost údajů (článek 20) opravňuje obyvatele EU požadovat, aby společnost předala jejich osobní údaje jinému poskytovateli služeb. Toto právo podporuje interoperabilitu tím, že usnadňuje přenos uživatelských údajů mezi správci údajů. Podporuje také konkurenci mezi digitálními službami, protože uživatelé mohou přecházet mezi poskytovateli, aniž by přišli o svá osobní data.
Dodržení tohoto ustanovení zahrnuje poskytnutí údajů ve strukturovaném, strojově čitelném formátu, který můžete předávat přímo druhé straně.
5. Přestaň mi volat!
Jednotlivci mají právo vznést námitku proti činnostem zpracování údajů (článek 21), jako je používání jejich osobních údajů pro marketingové nebo jiné účely.
Mezi platné důvody pro zamítnutí tohoto typu žádosti patří prokázání některé z následujících skutečností:
- Existuje oprávněná potřeba zpracování.
- Žádost je nepřiměřená nebo neopodstatněná.
- Požadované údaje se používají pro veřejné, historické nebo statistické účely.
- Požadované údaje byly použity nebo poskytnuty pro uplatnění právních nároků.
6. Přestaňte svému automatizovanému systému dovolit činit rozhodnutí, která ovlivňují mé právní zájmy.
GDPR také uděluje práva ve vztahu k automatizovanému rozhodování a profilování (článek 22). Pokud máte u osobních údajů zavedeno automatizované rozhodování a profilování, musíte poskytnout „smysluplné informace o příslušné logice, jakož i o významu a předpokládaných důsledcích takového zpracování pro subjekt údajů.
Tři platné důvody pro provádění automatického zpracování a profilování jsou:
- Osoba dala svůj souhlas.
- Zpracování je nezbytné pro uzavření nebo plnění smlouvy.
- Zpracování je povoleno právem unie nebo členského státu, které se na správce vztahuje.
Abyste se vyhnuli porušením, která by mohla vést k vysokým pokutám, zajistěte, aby zaměstnanci nezpracovávali informace prostřednictvím automatizovaných funkcí, aniž by si ověřili, že k tomu mají pádný důvod.
Přečtěte si související blogpost: Co je GDPR: 10 častých otázek
Jak vám může Netwrix pomoci reagovat na požadavky GDPR?
Software Netwrix pro soulad s GDPR vám může dát jistotu, že jste schopni hladce zpracovat všechny tyto typy žádostí o data tím, že objevíte všechny informace, které o jednotlivci ukládáte, na pár kliknutí.
V širším měřítku mohou řešení Netwrix pomoci vaší organizaci chránit všechna její citlivá a regulovaná data. Můžete zavést silnou správu dat, odstranit nevhodný přístup, vynutit zásady zabezpečení a včas odhalit pokročilé hrozby, abyste se vyhnuli vysokým nákladům na porušení zabezpečení a porušení předpisů.
Tým odborníků Netwrix dobře rozumí nejen GDPR, ale i kalifornskému zákonu o ochraně soukromí spotřebitelů (CCPA) a mnoha dalším předpisům o zabezpečení dat. Poskytují organizacím přizpůsobené a zaměřené poradenství, aby splnily jejich potřeby v oblasti dodržování předpisů. Chcete-li se dozvědět více, přihlaste se k demoverzi nebo si stáhněte mapování požadavků GDPR a funkčnosti Netwrix.
Často kladené otázky
Co je žádost GDPR?
Žádost o přístup subjektu údajů GDPR požadavky umožňují jednotlivcům požádat organizaci o poskytnutí kopie osobních údajů, které o nich uchovává, vymazat jejich údaje, přenést je k jinému poskytovateli a tak dále. Organizacím, které nesplní tyto požadavky ve stanovené lhůtě, hrozí vysoké pokuty.
Co je žádost o právo na přístup podle GDPR?
Právo na přístup je také známé jako „přístup subjektu“. Toto je právo jednotlivců na přístup ke kopiím svých osobních údajů a údajů, jakož i k doplňkovým údajům, podle nařízení o ochraně GDPR. Toto právo je navrženo tak, aby jednotlivcům umožnilo vědět, jak a proč organizace používají jejich data.
Co zahrnuje právo na přístup podle GDPR?
Informace, ke kterým mají subjekty údajů právo na přístup podle GDPR, zahrnují:
- Kategorie zpracovávaných osobních údajů
- Jak dlouho organizace plánuje uchovávat jejich osobní údaje
- Příjemci nebo kategorie příjemců osobních údajů
- Informace o tom, odkud data pocházejí
- Existence jakéhokoli automatizovaného rozhodovacího procesu
Pokud budou jakékoli osobní údaje putovat do třetí země bez odpovídající ochrany, je třeba subjekty údajů informovat o zárukách používaných k ochraně jejich údajů.
Jaká jsou práva subjektů údajů podle GDPR?
Podle GDPR mají subjekty údajů určitá práva, která mohou v souvislosti se svými osobními údaji uplatnit.
Tato práva zahrnují:
- Právo obdržet veškeré informace o nich shromážděné
- Právo na opravu chybných nebo neúplných údajů
- Právo na omezení zpracování jejich údajů
- Právo na přenositelnost dat, aby mohli snadno změnit poskytovatele
- Právo nebýt předmětem rozhodnutí, která jsou přijímána pouze prostřednictvím automatizovaného zpracování
- Právo vznést námitku proti způsobu, jakým jsou jejich údaje uchovávány nebo zpracovávány
- Právo na výmaz údajů
Musí firmy dodržovat GDPR?
Každá organizace, která uchovává nebo zpracovává údaje obyvatel EU, musí dodržovat GDPR. Nedodržení může vést k pokutám až do výše 2 % z celkového celosvětového obratu společnosti za předchozí fiskální rok nebo 10 milionů eur, podle toho, která hodnota je vyšší.
Zdroj: Netwrix