Průvodce shodou s RGPD pro firmy ve Francii

Obecné nařízení o ochraně osobních údajů (GDPR), ve Francii známé jako RGPD, je účinné od roku 2018, ale mnoho firem stále nesplňuje všechny požadavky. S pokutami až 20 milionů eur nebo 4 % celosvětového ročního obratu a francouzským dozorným úřadem CNIL, který zpřísňuje vymáhání, je shoda nezbytností.

Tento průvodce pokrývá základní povinnosti a nedávné změny včetně požadavků na transparentnost AI v roce 2025.

Proč je to vážné

Typ porušení	Maximální pokuta
Technická porušení	10 mil. EUR nebo 2 % obratu
Porušení práv	20 mil. EUR nebo 4 % obratu

CNIL od účinnosti RGPD uložila přes 400 milionů eur na pokutách. MSP nejsou výjimkou — sankce od 50 000 do 500 000 EUR pravidelně postihují organizace všech velikostí.

7 základních povinností

1. Informovaný souhlas

Souhlas musí být:

• Svobodný — žádná předem zaškrtnutá políčka
• Konkrétní — jeden souhlas na účel
• Informovaný — jasné vysvětlení použití dat
• Jednoznačný — vyžaduje aktivní jednání uživatele

2. Záznamy o činnostech zpracování

Povinné pro organizace s více než 250 zaměstnanci, ale doporučené pro všechny. Musí zahrnovat účely, kategorie údajů, příjemce, doby uchovávání a bezpečnostní opatření.

3. Pověřenec pro ochranu osobních údajů (DPO)

Povinný pro veřejné orgány, organizace zpracovávající údaje ve velkém měřítku a ty, které nakládají s citlivými údaji. I bez povinnosti je jmenování DPO osvědčenou praxí.

4. Posouzení vlivu na ochranu údajů (DPIA)

Vyžadováno, když zpracování pravděpodobně povede k vysokému riziku pro práva jednotlivců. Příklady: video dohled, profilování, zpracování zdravotních údajů.

5. Oznámení porušení

Při porušení zabezpečení údajů:

• 72 hodin na oznámení CNIL
• Oznámení dotčeným osobám při vysokém riziku
• Dokumentace každého porušení, i drobného

6. Právo na informace

Každá osoba musí vědět, jaké údaje se shromažďují, proč, jak dlouho se uchovávají, kdo má přístup a jak uplatnit svá práva (přístup, oprava, výmaz, přenositelnost).

7. Transparentnost AI (Novinka 2025)

Od roku 2025 musí organizace používající AI pro automatizovaná rozhodnutí informovat dotčené osoby, vysvětlit použitou logiku a umožnit napadení rozhodnutí.

Bezpečné sdílení dokumentů shody

Dokumenty shody s RGPD obsahují citlivé informace: záznamy zpracování, posouzení vlivu, auditní zprávy, korespondenci s regulátory.

Odesílání běžným e-mailem vytváří další rizika. LOCK.PUB umožňuje vytvořit odkaz chráněný heslem s automatickým vypršením pro bezpečné sdílení dokumentů s DPO, právníkem nebo CNIL. Pošlete odkaz přes WhatsApp — praktické a bezpečné.

Bezplatné nástroje CNIL

CNIL nabízí několik bezplatných nástrojů:

• PIA: open-source software pro posouzení vlivu
• Šablona záznamů zpracování (ke stažení z cnil.fr)
• Příručka pro subdodavatele (povinnosti zpracovatelů)
• Sektorové rámce (zdravotnictví, HR, zákazníci)

Kontrolní seznam shody s RGPD

• Aktuální záznamy zpracování
• Zveřejněná ochrana soukromí
• Shodný cookie banner
• Zdokumentované procesy souhlasu
• Jmenovaný DPO (pokud je vyžadován)
• Postup oznámení porušení
• Smlouvy s dodavateli s klauzulemi RGPD
• Školení zaměstnanců
• DPIA pro vysoce rizikové zpracování
• Proces odpovědí na žádosti subjektů údajů

Časté chyby

1. Zaměňování souhlasu a oprávněného zájmu — jde o dva různé právní tituly
2. Nadměrné uchovávání údajů — uchovávat údaje "pro jistotu" je nezákonné
3. Zapomínání na dodavatele — za své zpracovatele odpovídáte vy
4. Zanedbávání bezpečnosti — RGPD vyžaduje přiměřená technická opatření
5. Ignorování práv subjektů údajů — máte 1 měsíc na odpověď

Závěr

Shoda s RGPD je průběžný proces, ne jednorázový projekt. Pravidla se vyvíjejí, CNIL zpřísňuje vymáhání a očekávání občanů v oblasti soukromí stále rostou.

Začněte základy — záznamy, transparentnost, bezpečnost — a stavějte na tom. Když potřebujete sdílet citlivé dokumenty shody, použijte LOCK.PUB.

---

Ochrana údajů není jen právní povinnost. Je to závazek vůči vašim zákazníkům a zaměstnancům.