GDPR

Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a jeho implementace

Nařízení 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Společnost T-Mobile Czech Republic a.s. si je plně vědoma významu ochrany osobních, provozních a lokalizačních údajů, a proto při shromažďování a dalším zpracování takových údajů, včetně obsahu, postupujeme v souladu s platnými právními předpisy, zejména se zákonem č.101/2000 Sb., o ochraně osobních údajů, se zákonem č.127/2005 Sb., o elektronických komunikacích, a dále dle příslušných ustanovení Občanského zákoníku, jakož i příslušných norem Evropské unie.

Nejenže aktivně sledujeme vývoj české legislativy a legislativy EU, abychom implementovali veškeré požadavky uložené zákonem, ale aktivně se věnuje oblasti ochrany dat a bezpečnosti – například tím, že máme definovanou a funkční roli Data Privacy Officera, zaměstnance vybaveného dostačujícími kompetencemi k tomu, aby mohl ovlivňovat fungování nových i existujících služeb a nabídek tak, aby byla zajištěna maximální možná míra ochrany soukromí našich zákazníků.

Jako člen koncernu Deutsche Telekom jsme přijali Závazná podniková pravidla pro ochranu soukromí při nakládání s osobními údaji v rámci koncernu Deutsche Telekom, čímž je ve společnosti T-Mobile Czech Republic, i u jejích dodavatelů, zajištěna jednotná úprava ochrany údajů. Přijetím těchto Pravidel vytváří koncern Deutsche Telekom jednotnou úpravu ochrany údajů na vysoké úrovni, která platí po celém světě pro nakládání s údaji jak v rámci jednotlivých společností, tak mezi jeho jednotlivými společnostmi navzájem, jak na území Evropské Unie, tak v zahraničí. V rámci koncernu Deutsche Telekom musí být zajištěno, že příjemce osobních údajů bude tyto údaje zpracovávat v souladu se zásadami upravenými v právních předpisech na ochranu údajů, jež se vztahují na jejich odesilatele.

Můžeme deklarovat, že splňujeme požadavky platných právních předpisů v oblasti ochrany osobních údajů a že implementujeme požadavky nařízení 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“), a tedy ke dni aplikovatelnosti budeme připraveni na plnění povinností kladených GDPR jak na správce osobních údajů, tak na případy, kde bude společnost T-Mobile Czech Republic a.s. v pozici zpracovatele osobních údajů.

Jsme držitelem certifikátu na systém řízení bezpečnosti informací (ISMS) podle normy ČSN ISO/IEC 27001:2014, který prokazuje, že naše společnost přijala všechna nezbytná opatření k ochraně citlivých informací (jimiž se zejména rozumí nejen osobní údaje, ale i zákaznické údaje jako celek) před neoprávněným přístupem, sladila interní postupy s požadavky normy a plní legislativní a jiné požadavky. I tak, a to zejména s ohledem na možné nové bezpečnostní hrozby, jsou bezpečnostní opatření neustále posuzována ve světle konkrétních okolností, aby se určila a zabezpečila vhodná úroveň ochrany.

Nové povinnosti podle GDPR

Povinnost vést záznamy o činnostech zpracování

Ke dni aplikovatelnosti GDPR, tedy k 25. 5. 2018, budou nastaveny veškeré procesy nezbytné k vedení záznamů v rozsahu požadovaném GDPR, a to jak na případy, kdy je společnost T-Mobile v pozici správce, tak na případy, kdy je společnost T-Mobile v pozici zpracovatele. Již dnes dokumentujeme veškeré činnosti zpracování, které jsou podle současné platné právní úpravy předmětem registrace u Úřadu pro ochranu osobních údajů.

Posouzení vlivu na ochranu osobních údajů

Řízení rizik je jednou z klíčových oblastí, která je již dnes v naší společnosti plně implementována v rámci systému řízení bezpečnosti informací, jejíž jsou osobní údaje součástí, zejména řízení rizik a zajištění souladu s právní úpravou. Máme nastaveny procesy, v rámci nichž budou implementovány požadavky GDPR tak, aby zejména při využití nových technologií a s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, které by mohlo mít za následek vysoké riziko pro práva a svobody fyzických osob, bylo předem provedeno posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.

Předchozí konzultace

Budou-li naplněny podmínky předpokládané pro předchozí konzultace v rámci GDPR, tedy v případě, že by předpokládané zpracování mělo za následek vysoké riziko pro práva a svobody fyzických osob jsme připraveni konzultovat dozorový orgán a postupovat v souladu s výsledky takové konzultace.

Ohlašování případu porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a Oznamování případu porušení zabezpečení osobních údajů subjektu údajů

V rámci incident managementu máme nastaveny procesy pro řádné dokumentování veškerých bezpečnostních incidentů a pro ohlašování porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a oznamování subjektu údajů. Jako poskytovatel služeb elektronických komunikací jsme již dnes povinni oznámit Úřadu pro ochranu osobních údajů porušení ochrany osobních údajů, ke kterému by došlo v rámci poskytované služby elektronických komunikací.

Ustavení pověřence pro ochranu osobních údajů

Máme ustanoveného Pověřence pro ochranu osobních údajů, který je vybaven odpovídajícími pravomocemi a je zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

Práva subjektu údajů

Ke dni aplikovatelnosti GDPR budou plněny veškeré povinnosti kladené na společnost T-Mobile Czech Republic a.s. jako správce ve vztahu k právům subjektu údajů. Zároveň bude naše společnost zajišťovat veškerou součinnost správcům nutnou k plnění jejich zákonných povinností podle GDPR, jimž bude poskytovat služby v pozici zpracovatele.

V rámci projektu implementace GDPR budou nastaveny, pro každý subjekt údajů, který je pro naši společnost identifikovaný nebo identifikovatelný, takové postupy, aby subjekt údajů měl jednoduše dostupné veškeré informace nově požadované GDPR a aby mohl jednoduchým způsobem uplatňovat svá nová práva, která pro něj z GDPR vyplývají (stejně tak, jako již dnes má subjekt údajů možnost např. spravovat jednoduchým způsobem daná oprávnění).