Vše, co zatím víme o General Data Protection Regulation (GDPR)

Srp 17, 2017 | Ekonomika | 0 komentářů

V dubnu 2017 bylo schváleno nařízení na ochranu osobních údajů GDPR (General Data Protection Regulation). Již 25. 5. 2018 vstoupí GDPR v platnost, proto je důležité začít s přípravami již dnes. Co tahle tajemná zkratka znamená, koho všeho se bude týkat a jaká opatření bude potřeba zařídit, se dočtete níže.

GDPR je evropský předpis, je to ucelený soubor pravidel na ochranu dat na světě. Jde o první celoevropskou úpravu ochrany osobních dat, které nás popisují a identifikují. Žijeme v době, kdy data, včetně těch osobních, začínají mít větší hodnotu než ropa, a proto se ochrana soukromí v dnešní internetové době stává něčím, co bychom rozhodně neměli podceňovat.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Týká se společností a institucí na území EU, ale i mimo území EU, které působí na evropském trhu. Cílem GDPR je chránit digitální práva občanů EU.

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Naopak z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. Týká se to tedy údajů, které zpracováváme pro osobní potřebu a s nikým je nebudeme sdílet.

Co by měli správci a zpracovatelé údajů (firmy, instituce i jednotlivci) udělat, aby byli v souladu s nařízením GDPR?

  • provést datový audit (jaký typ osobních údajů u sebe firmy mají, kde jsou uskladňovány a kdo k nim má přístup),
  • zavést princip zodpovědnosti (zavést technická, organizační a procesní opatření na ochranu osobních údajů),
  • vypracovat posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment (jedná se o naprostou novinku, kterou budou muset vypracovat firmy, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem jsou činnosti bank, pojišťoven, leasingových či jiných finančních institucí, které algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby),
  • jmenovat pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer), jeho hlavním úkolem bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat,
  • zavést tzv. pseudonymizaci osobních údajů (rozumí se tím zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům,
  • vést záznamy o činnostech zpracování (firmy musí identifikovat zdroje a úložiště těchto údajů),
  • provádět konzultace s dozorovým orgánem před samotným zpracováním osobních údajů,
  • do 72 hodin oznámit ÚOOU (Úřad pro ochranu osobních údajů) narušení bezpečnosti údajů, pokud k takovému případu dojde.

Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Kladné stránky GDPR

  • ochrana osobních údajů,
  • rovnocenná vymahatelnost práva v celé EU,
  • přístup občanů k údajům, které jsou o nich shromažďovány,
  • právo na výmaz těchto údajů rozšířené na právo být zapomenut,
  • možnost se rozhodnout, jaké údaje a s kým budou sdíleny.

Záporné stránky GDPR

  • další byrokratické zatížení,
  • další nemalé investice spojené s implementací opatření na ochranu osobních údajů (konzultantské služby IT společností, právníků, zaškolování pracovníků, zavedení bezpečnostních opatření, atd.),
  • jmenování DPO,
  • vysoké pokuty až do 20 mil. EUR v případě porušení či nepřipravenosti na GDPR,
  • krom vysokých pokut může dojít i ke ztrátě dobrého jména a důvěry,
  • sepsání interní směrnice na ochranu osobních údajů (životní cyklus dat musí mít jasné vymezení začátku a konce),
  • možnost koupě GDPR softwaru na klíč.

GDPR je v první řadě o interních procesech a zásadách, nikoliv o zázračných technologiích a certifikátech. Proto doporučuji všem zainteresovaným, kterých se GDPR týká nahlížet kritičtěji na jednotlivé GDPR řešení na klíč a uvědomit si vlastní jedinečnost zpracovávání osobních údajů.

Termín 25. 5. 2018 kdy nová pravidla vstoupí v platnost, se kvapem blíží, proto je důležité se na ně pečlivě připravit a začít již dnes. Jak má být toto nařízení konkrétně implementováno v praxi, bohužel není ještě zcela úplně jasné a je velmi pravděpodobné, že po zavedení novely se ještě vyskytnou nedokonalosti a řada otázek, stejně jako tomu bylo u EET. Proto doporučuji sledovat aktuální informace na webu www.gdpr.cz

 

Napsal http://nastejnelodi.cz/

Vložit komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *