Vše, co zatím víme o General Data Protection Regulation (GDPR)

Nastejnelodi.cz s.r.o. -

V dubnu 2017 bylo schváleno nařízení na ochranu osobních údajů GDPR (General Data Protection Regulation). Již 25. 5. 2018 vstoupí GDPR v platnost, proto je důležité začít s přípravami již dnes. Co tahle tajemná zkratka znamená, koho všeho se bude týkat a jaká opatření bude potřeba zařídit, se dočtete níže.

GDPR je evropský předpis, je to ucelený soubor pravidel na ochranu dat na světě. Jde o první celoevropskou úpravu ochrany osobních dat, které nás popisují a identifikují. Žijeme v době, kdy data, včetně těch osobních, začínají mít větší hodnotu než ropa, a proto se ochrana soukromí v dnešní internetové době stává něčím, co bychom rozhodně neměli podceňovat.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Týká se společností a institucí na území EU, ale i mimo území EU, které působí na evropském trhu. Cílem GDPR je chránit digitální práva občanů EU.

Mezi obecné osobní údaje se řadí jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresa a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadí se mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.

Naopak z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. Týká se to tedy údajů, které zpracováváme pro osobní potřebu a s nikým je nebudeme sdílet.

Co by měli správci a zpracovatelé údajů (firmy, instituce i jednotlivci) udělat, aby byli v souladu s nařízením GDPR?

  1. provést datový audit (jaký typ osobních údajů u sebe firmy mají, kde jsou uskladňovány a kdo k nim má přístup),
  2. zavést princip zodpovědnosti (zavést technická, organizační a procesní opatření na ochranu osobních údajů),
  3. vypracovat posouzení vlivu na ochranu osobních údajů, v angličtině DPIA neboli Data Protection Impact Assessment (jedná se o naprostou novinku, kterou budou muset vypracovat firmy, pokud provádějí systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování. Typickým příkladem jsou činnosti bank, pojišťoven, leasingových či jiných finančních institucí, které algoritmickým posouzením informací o klientovi vyhodnocují jeho situaci za účelem nabídky služby),
  4. jmenovat pověřence pro ochranu osobních údajů neboli DPO (Data Protection Officer), jeho hlavním úkolem bude monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat,
  5. zavést tzv. pseudonymizaci osobních údajů (rozumí se tím zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům,
  6. vést záznamy o činnostech zpracování (firmy musí identifikovat zdroje a úložiště těchto údajů),
  7. provádět konzultace s dozorovým orgánem před samotným zpracováním osobních údajů,
  8. do 72 hodin oznámit ÚOOU (Úřad pro ochranu osobních údajů) narušení bezpečnosti údajů, pokud k takovému případu dojde.

Uplatnění principu zodpovědnosti bude představovat pro podnikatele nemalé časové a finanční investice. V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Kladné stránky GDPR

  • ochrana osobních údajů,
  • rovnocenná vymahatelnost práva v celé EU,
  • přístup občanů k údajům, které jsou o nich shromažďovány,
  • právo na výmaz těchto údajů rozšířené na právo být zapomenut,
  • možnost se rozhodnout, jaké údaje a s kým budou sdíleny.

Záporné stránky GDPR

  • další byrokratické zatížení,
  • další nemalé investice spojené s implementací opatření na ochranu osobních údajů (konzultantské služby IT společností, právníků, zaškolování pracovníků, zavedení bezpečnostních opatření, atd.),
  • jmenování DPO,
  • vysoké pokuty až do 20 mil. EUR v případě porušení či nepřipravenosti na GDPR,
  • krom vysokých pokut může dojít i ke ztrátě dobrého jména a důvěry,
  • sepsání interní směrnice na ochranu osobních údajů (životní cyklus dat musí mít jasné vymezení začátku a konce),
  • možnost koupě GDPR softwaru na klíč.

GDPR je v první řadě o interních procesech a zásadách, nikoliv o zázračných technologiích a certifikátech. Proto doporučuji všem zainteresovaným, kterých se GDPR týká nahlížet kritičtěji na jednotlivé GDPR řešení na klíč a uvědomit si vlastní jedinečnost zpracovávání osobních údajů.

Termín 25. 5. 2018 kdy nová pravidla vstoupí v platnost, se kvapem blíží, proto je důležité se na ně pečlivě připravit a začít již dnes. Jak má být toto nařízení konkrétně implementováno v praxi, bohužel není ještě zcela úplně jasné a je velmi pravděpodobné, že po zavedení novely se ještě vyskytnou nedokonalosti a řada otázek, stejně jako tomu bylo u EET. Proto doporučuji sledovat aktuální informace na webu www.gdpr.cz

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


...a kdy naskočíte na palubu vy?