Družstevní záložny považují ochranu osobních dat klientů z řad fyzických osob a svých zaměstnanců za důležitou zásadu etiky chování a přijaté bezpečnostní politiky.

Proto rovněž kladou velký důraz na naplnění požadavků nového evropského nařízení o ochraně osobních údajů, označovaného jako GDPR (General Data Protection Regulation).

Analýzy, revize a úpravy

Naši členové přípravu zahájili již v minulém roce. Provedli vstupní dopadovou analýzu, na jejímž základě komplexně vyhodnotili nakládání s osobními údaji a identifikovali okruhy odchylek současného stavu vzhledem k nové právní úpravě. Velké změny se týkají například režimu získávání souhlasu k nakládání s osobními údaji nebo nově upravené povinnosti detailního sledování a záznamu přístupů k osobním údajům v informačních systémech.

Seriál HN k ochraně dat GDPR

◼ 17. 1.
GDPR a marketing
◼ 24. 1.
GDPR a pracoviště
◼ 31. 1.
GDPR a technologie

Nyní jsou postupně naplňována organizačně právní a technická bezpečností opatření k dosažení souladu s požadavky nařízení. V první řadě jde o revizi smluvní dokumentace a vnitřních předpisů. GDPR mimo jiné požaduje zapracování nových postupů a náležitostí pro uzavírání smluv o zpracování osobních údajů, zavedení procesů pro posouzení vlivu na ochranu osobních údajů a procesů pro ohlášení porušení zabezpečení.

Analyzujeme také využívání cookies na webových stránkách, upravujeme informační systémy a řešíme zavedení vhodných technických opatření pro identifikaci subjektů údajů a souvisejících osobních údajů, pro výmaz osobních údajů a taktéž pro řízení a kontrolu přístupů k osobním údajům.

Drahá opatření bez odpovědí

Nejnákladnější jsou úpravy informačního systému a zavedení výše popsaných technických automatizovaných řešení. Očekávané náklady se pohybují u každé ze záložen v řádu statisíců korun.

Při řešení se projevuje rozdílnost právních názorů na detailní rozsah jednotlivých opatření, zejména zda je postačující naplnění zásad GDPR nebo zda je třeba zvažovat každý konkrétní případ možné odchylky a zabezpečovat se vůči tomu. Jedná se zejména o fakt, že nařízení je poměrně obecně formulováno a teprve praxe ukáže, která konkrétní opatření budou shledána jako dostatečná.

Zejména z tohoto důvodu vnímáme jako problematickou přetrvávající absenci použitelných přístupů k pokrytí jednotlivých povinností správce, resp. zpracovatele osobních údajů. Ty neposkytl ani Úřad pro ochranu osobních údajů, ani WP29 (pracovní skupina Evropské komise) a doposud nevznikly ani v rámci odvětvových sdružení majících možnost zpracovávat kodexy chování s ohledem na společné potřeby organizací v odvětví.