Sberbank CZ: GDPR v kostce

Co to je?

Je to nařízení evropské unie, které je účinné od 25. května 2018.

Na koho se vztahuje?

GDPR se vztahuje na všechny organizace, které sbírají, zpracovávají a uchovávají osobní údaje občanů EU. Týká se osobních údajů fyzických osob, v případě banky tedy primárně retailových klientů (včetně fyzických osob podnikatelů) a zaměstnanců. U firemních klientů se GDPR hlavně týká kontaktních osob.

Co obsahuje?

GDPR definuje pravidla pro nakládání a ochranu osobních údajů a zároveň stanovuje postupy a sankce v případě, že bude porušeno zabezpečení osobních údajů. GDPR posiluje stávající a definuje nová práva klientů a zaměstnanců. Klíčovými jsou právo na informace, právo na přístup, právo na omezení zpracování a právo na výmaz.

Porušení zabezpečení osobních údajů

Znamená narušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Co GDPR znamená v praxi?

Především vedení podrobných evidencí. Kde všude s osobními údaji pracujeme? Jaké konkrétní osobní údaje zpracováváme a k jakým účelům? Kde jsou osobní údaje uloženy (fyzicky, elektronicky)? Jak jsou osobní údaje chráněny? Kdo má k osobním údajům přístup?

Souhlas se zpracováním osobních údajů

je nutný u všech zpracování, kde není právním titulem pro zpracování zákonná povinnost, oprávněný zájem banky nebo splnění smlouvy. Souhlas musí být svobodný, informovaný a prokazatelný. Klient může souhlas kdykoliv odvolat.

Vše co jste chtěli vědět o GDPR, ale báli jste se zeptat

GDPR je nová norma ochrany osobních údajů, která zavádí přísné požadavky na firmy, aby zajistily důvěrnost osobních údajů, navíc velmi výrazně zvyšují pokuty v případě, že firmě uniknou důvěrné informace.

Zároveň dává lidem či zákazníkům nová práva a výrazně posiluje jejich postavení v případném sporu s firmami v případě zneužití jejich osobních údajů.

Naplnění požadavků GDPR není otázkou jednoho oddělení, ale dotklo se úplně každého útvaru, zaměstnance, procesu a IT aplikace v naší bance. Někde byly úpravy snadné, v jiných případech se jedná o významný zásah.

Našim cílem bylo mimo jiné nastavit procesy, postupy a upravit naše IT systémy tak, aby dokázaly zajistit nová práva klientů (být zapomenut, změny v souhlasech).

Dále zajistit bezpečnost dat klientů ať už v IT systémech, souborech, IT testovacích prostředích, při posílání po síti nebo e-mailem. A též umět zjistit podezření na únik dat a splnit povinnost informovat státní orgány a klienty o případech narušení bezpečnosti dat.

GDPR a dopad na klienty

Smyslem nařízení evropské unie tzv. GDPR je poskytnout klientovi informace zejména o tom, jaké osobní údaje shromažďujeme, jak s nimi nakládáme, z jakých zdrojů je získáváme, komu je smíme poskytnout atd.

Právo na přístup dává klientům zejména možnost ověřit si zákonnost zpracování jejich údajů. Každý klient tedy bude mít právo vědět a být informován o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů atd.

Jaká práva dává občanům GDPR

Jedním z největších dopadů nařízení je posílení práv občanů. Jedná se o následující práva.

Právo na přístup umožňuje ověřit si zákonnost a účel zpracování osobních údajů.

Právo na opravu umožňuje požádat danou společnost o opravu nesprávně uvedených údajů.

Právo na výmaz umožňuje požádat správce o bezodkladný výmaz osobních údajů, pokud je dán jeden z těchto důvodů:

• Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
• Zpracování je založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
• Osobní údaje byly zpracovány protiprávně.
• Se zpracováním osobních údajů dětí nebyl dán rodičovský souhlas.
• Vznikla právní povinnost stanovená právem Unie nebo členským státem.

Právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie.

Právo na omezení zpracování umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování osobních údajů, tj. znepřístupnit vybrané osobní údaje (na internetu), zabránit využívání a zpracování údajů (pro marketingové účely) nebo zabránit provádění změn údajů.

Právo na přenositelnost umožňuje v případě automatizovaného zpracování osobních údajů získat svoje osobní údaje poskytnuté správci a tyto předat jinému správci (např. přenos tel. čísla mezi operátory).