Co to je?
Je to nařízení evropské unie, které je účinné od 25. května 2018
Na koho se vztahuje?
GDPR se vztahuje na všechny organizace, které sbírají, zpracovávají a uchovávají osobní údaje občanů EU. Týká se osobních údajů fyzických osob, v případě banky tedy primárně retailových klientů (včetně fyzických osob podnikatelů) a zaměstnanců. U firemních klientů se GDPR hlavně týká kontaktních osob.
Co obsahuje?
GDPR definuje pravidla pro nakládání a ochranu osobních údajů a zároveň stanovuje postupy a sankce v případě, že bude porušeno zabezpečení osobních údajů.
REKLAMA
GDPR posiluje stávající a definuje nová práva klientů a zaměstnanců. Klíčovými jsou právo na informace, právo na přístup, právo na omezení zpracování a právo na výmaz.
Porušení zabezpečení osobních údajů
Znamená narušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Co GDPR znamená v praxi?
Především vedení podrobných evidencí. Kde všude s osobními údaji pracujeme? Jaké konkrétní osobní údaje zpracováváme a k jakým účelům? Kde jsou osobní údaje uloženy (fyzicky, elektronicky)? Jak jsou osobní údaje chráněny? Kdo má k osobním údajům přístup?
Souhlas se zpracováním osobních údajů
je nutný u všech zpracování, kde není právním titulem pro zpracování zákonná povinnost, oprávněný zájem banky nebo splnění smlouvy. Souhlas musí být svobodný, informovaný a prokazatelný. Klient může souhlas kdykoliv odvolat.
REKLAMA
Vše co jste chtěli vědět o GDPR, ale báli jste se zeptat
GDPR je nová norma ochrany osobních údajů, která zavádí přísné požadavky na firmy, aby zajistily důvěrnost osobních údajů, navíc velmi výrazně zvyšují pokuty v případě, že firmě uniknou důvěrné informace.
Zároveň dává lidem či zákazníkům nová práva a výrazně posiluje jejich postavení v případném sporu s firmami v případě zneužití jejich osobních údajů.
Naplnění požadavků GDPR není otázkou jednoho oddělení, ale dotklo se úplně každého útvaru, zaměstnance, procesu a IT aplikace v naší bance. Někde byly úpravy snadné, v jiných případech se jedná o významný zásah.
Našim cílem bylo mimo jiné nastavit procesy, postupy a upravit naše IT systémy tak, aby dokázaly zajistit nová práva klientů (být zapomenut, změny v souhlasech).
Dále zajistit bezpečnost dat klientů ať už v IT systémech, souborech, IT testovacích prostředích, při posílání po síti nebo e-mailem. A též umět zjistit podezření na únik dat a splnit povinnost informovat státní orgány a klienty o případech narušení bezpečnosti dat.
GDPR a dopad na klienty
Smyslem nařízení evropské unie tzv. GDPR je poskytnout klientovi informace zejména o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, komu je smíme poskytnout atd.
Právo na přístup dává klientům zejména možnost ověřit si zákonnost zpracování jejich údajů. Každý klient tedy bude mít právo vědět a být informován o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů atd.
Jaká práva dává občanům GDPR
Jedním z největších dopadů nařízení je posílení práv občanů. Jedná se o následující práva.
Právo na přístup umožňuje ověřit si zákonnost a účel zpracování osobních údajů.
Právo na opravu umožňuje požádat danou společnost o opravu nesprávně uvedených údajů.
Právo na výmaz umožňuje požádat správce o bezodkladný výmaz osobních údajů, pokud je dán jeden z těchto důvodů:
- Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
- Zpracování je založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
- Osobní údaje byly zpracovány protiprávně.
- Se zpracováním osobních údajů dětí nebyl dán rodičovský souhlas.
- Vznikla právní povinnost stanovená právem Unie nebo členským státem.
Právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie.
Právo na omezení zpracování umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování osobních údajů, tj. znepřístupnit vybrané osobní údaje (na internetu), zabránit využívání a zpracování údajů (pro marketingové účely) nebo zabránit provádění změn údajů.
Právo na přenositelnost umožňuje v případě automatizovaného zpracování osobních údajů získat svoje osobní údaje poskytnuté správci a tyto předat jinému správci (např. přenos tel. čísla mezi operátory).
