Nařízení GDPR (General Data Protection Regulation) výrazným způsobem
přepracovává legislativu o ochraně osobních údajů. Reaguje na současnou dobu, ve které se
informační systémy a digitální podnikání obecně stávají nedílnou součástí téměř každé firmy. Dobu, v níž
řada firem využívá ke
komerčním účelům pojem big data nebo, lépe řečeno,
sbírá informace, které po sobě zanecháváme v kyberprostoru.
Koneckonců už jste sami určitě zaznamenali
zprávy o občasném úniku dat či jejich zneužití. A to
nejen ke komerčním účelům (většinou k reklamě, teleshopingu či e-mailovým newsletterům), ale také
k tvorbě veřejného mínění či prosazování politických cílů, ba dokonce, ve světle zjištění, k
tajnému shromažďování údajů o občanech EU bezpečnostními službami některých států
mimo evropský prostor.
Aktuální legislativa, kterou se prozatím zákony na ochranu osobních údajů řídí,
je již zastaralá. V době jejího vzniku navíc ještě neexistovaly dnes již rozšířená
cloudová centra a další moderní technologie, na které si již řada uživatelů zvykla, aniž by si byla
možných bezpečnostních incidentů vědoma.
Bylo tedy naprosto nutné
stanovit přísnější pravidla ochrany našich osobních dat a prostřednictvím GDPR
zavést změny, které jsou pro tuto oblast zásadní a do značné míry i ambiciózní.
Nařízení je jedním z
nejrozsáhlejších právních předpisů, které
Evropská unie v posledních letech přijala. Zaváděním koncepcí, jako je
právo na zapomenutí, přenositelnost údajů, oznamování o narušení údajů a odpovědnosti za svěřená data obecně, se totiž výrazným způsobem
dotkne řady firem, které si tak
na nové požadavky na ochranu osobních údajů občanů EU
budou muset zvyknout.
Dokonce i skutečnost, že se
nejedná o směrnici, ale přímo o nařízení, činí z
GDPR neobvyklý právní předpis, který řada specialistů na ochranu údajů analyzuje a formou doprovodných pokynů dotváří. Bez nadsázky lze tedy říci, že
se jedná o největší změnu legislativy v oblasti nakládání s osobními údaji za posledních 20 let.
GDPR se bude týkat plošně všech firem, které
spravují, shromažďují či zpracovávají osobní údaje občanů Evropské unie. V našem podnikatelském prostředí se tak bude jednat o
všechny firmy a jednotlivce, kteří
zpracovávají osobní údaje svých zaměstnanců, zákazníků nebo dodavatelů.
GPDR se ale uplatní i na ty, kteří
sledují a analyzují chování uživatelů na webu prostřednictvím nástrojů, jako je
Google Analytics nebo
Facebook. Cílem GDPR je totiž chránit digitální práva občanů EU.
Co je tedy GDPR?
Nařízení GDPR nově
reguluje zpracování osobních údajů fyzických osob, konkrétně upravuje ty oblasti, kde se dnes řídíme
zákonem č. 101/2000 Sb., o ochraně osobních údajů.
GDPR zavádí celou
řadu nových práv a povinností a také
zpřesňuje či zpřísňuje stávající pravidla.
Řídit se jím musí všichni správci a zpracovatelé osobních dat (údajů) ze všech odvětví, například z
bankovnictví, zdravotnictví, veřejné správy nebo internetových obchodů.
Primárně se nové změny dotknou
zpracování osobních údajů zákazníků.
Kdy bude GDPR platit?
Nařízení GDPR představuje právně
závaznou normu, která
vstoupila v platnost v květnu 2016 a musí být
plně zavedena do května 2018 v celém svém rozsahu
ve všech státech EU.
Co je zapotřebí udělat, aby vaše firma splňovala nároky GDPR?
Správci a zpracovatelé osobních údajů bez ohledu na svoji velikost a počty zaměstnanců musí především
zavést technická, organizační a procesní opatření za účelem
prokázání souladu s principy GDPR. To vše bude pro podnikatele představovat
časové a finanční investice, které se budou týkat zejména:
- implementace záměrné a nezbytné ochrany dat,
- vedení záznamů o činnostech zpracování,
- v některých případech také zavedení tzv. pseudonymizace osobních údajů, kdy jsou konkrétnímu člověku přiřazeny údaje bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům
- a v neposlední řadě konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.
Nebo společnosti, které zase u svých klientů
algoritmicky posuzují informace, na jejichž základě
vyhodnocují jeho situaci za účelem nabídky služeb, budou muset vypracovat
posouzení vlivu na ochranu osobních údajů (tzv.
DPIA).
Abyste mohli
doložit soulad s GDPR, budete tak muset
přijmout vnitřní koncepce,
provést procesní změny a zavést opatření, která dodržují zejména zásady ochrany osobních údajů.
Ta by měla především spočívat
v minimalizaci zpracování osobních údajů, v jejich co
nejrychlejší pseudonymizaci, v
transparentnosti s ohledem na účely a zpracování osobních údajů a především
v umožnění přístupu občanům k jejich údajům.
Obr.: Základní terminologie vyskytující se v nařízení GDPR
A k jakým změnám vlastně dochází?
Pojďme si
shrnout základní výčet konkrétních změn, které
GPDR přináší:
- rozšíření pojmu osobní údaj; nově je osobním údajem za určitých okolností i e-mailová adresa, IP adresa, cookies apod.,
- nové pojmy a s nimi spojené povinnosti, jako „pseudonymizace“, „profilování“ a „přeshraniční zpracování“,
- právo subjektu údajů být zapomenut, právo na přenositelnost osobních údajů a právo přístupu k těmto údajům,
- povinnost zajistit, dokumentovat a kontrolovat zabezpečení osobních údajů,
- schopnost včas objevit incidenty, analyzovat je, posoudit a informovat o nich,
- povinnosti v oblastech odpovědnosti, řízení rizik a reportingu; například v určitých případech zavést pozici pověřence pro ochranu osobních údajů (DPO) nebo provádět analýzu rizik formou posouzení vlivu na ochranu osobních údajů (DPIA) či vést dokumentaci týkající se záznamů o činnostech zpracování.
Co vše je zapotřebí udělat pro zavedení změn?
Úkoly se pravděpodobně dotknou celé řady pracovníků ve vaší firmě, především těch, kteří se zabývají
marketingem, obchodem či provozem IT. V neposlední řadě pak i
právníků, risk a compliance managerů a managementu obecně, který zároveň ponese
zodpovědnost za splnění všech požadavků GDPR.
Jaké budou pokuty při nedodržení nařízení?
Správní pokuty za nedodržení požadavků jsou nastavené velice přísně. Jsou stanovené
dvě kategorie pokut podle typu porušení nařízení, například
úmyslné činy spadají do kategorie vyšších pokut.
V důsledku se může jednat o astronomickou
částku ve výši 4 % ročního obratu nebo pokutu v řádech miliónů eur.
GDPR v programech STORMWARE
I přesto, že většina procesů musí v prvé řadě
vycházet z přijmutí vnitřní koncepce, provedení
procesních změn a zavedení vlastních opatření, která dodržují zejména zásady záměrné ochrany osobních údajů, mohou být uživatelé programů od společnosti
STORMWARE klidnější.
Začlení správu osobních údajů svých klientů, zaměstnanců a dodavatelů v souladu s
principy GDPR tak, aby vyhovovaly a co nejvíce
zjednodušily implementaci procesních změn a opatření.
Jelikož jako
správce osobních údajů nesete i odpovědnost za dodržování principů zpracování osobních údajů, klade STORMWARE při úpravách svých programů
důraz zejména na aspekty jejich správy a administrace. Tedy aby
pro vás nebyl problém:
- mít řádně zaznamenaný právní základ pro zpracování údajů,
- doložit, že osobní údaje jsou zpracované korektně a transparentním způsobem a v případě potřeby i snadno aktualizovatelné,
- možnost zaznamenat účel a rozsah zpracování údajů včetně jejich omezení,
- uložit údaje ve formě umožňující identifikaci subjektu údaje po delší dobu,
- subjektům údajů přístup ke svým údajům, jejich vymazání, opravu a přenositelnost,
- zpracovat údaje způsobem, který zajistí náležité zabezpečení, neustálou důvěrnost, integritu a dostupnost osobních údajů.
Obr.: GDPR v programu POHODA
Čím začít?
Každá organizace, která nějakým způsobem
zpracovává jakékoliv osobní údaje, by měla
provést analýzu stavu, souladu a nedostatků a
zahájit projekt pro naplnění změnových požadavků.
Splnění všech požadavků
nebude jednoduché, doporučujeme
začít co nejdříve.
Následující kroky by vám měly pomoci při přípravě na obecné nařízení o ochraně osobních údajů (GDPR), tak jak jej doporučuje britská
ICO –
Preparing for the General Data Protection Regulation 12 steps to take now.
1. Obecné povědomí
Ujistěte se, že
rozhodovací orgány a kompetentní zaměstnanci ve vaší organizaci si uvědomují, že
správa osobních údajů se nově podřizuje GDPR. Je nutné
uvědomit si dopad, jaký to pravděpodobně bude mít na vaši společnost.
2. Co všechno víte
Zdokumentujte, jaké osobní údaje nyní zpracováváte, odkud pochází a s kým je sdílíte.
3. Sdělování informací o soukromí
Shrňte si aktuální situaci, jakým způsobem nakládáte s osobními údaji, a
stanovte si plán pro provedení všech potřebných opatření
v souladu s implementací GDPR.
4. Práva subjektu údajů
Zkontrolujte své stávající postupy a ujistěte se, že
pokryjí všechna nová práva subjektů údajů, včetně toho,
jakým způsobem je vymažete nebo je oprávněně elektronicky
poskytnete.
5. Požadavky na přístup
Zaktualizujte své postupy a naplánujte,
jak budete zpracovávat požadavky v rámci nových lhůt a jak budete
poskytovat další informace.
6. Právní základ pro zpracování osobních údajů
Roztřiďte údaje, které zpracováváte.
Identifikujete právní základ, na jehož základě data zpracováváte, a
zdokumentujte to.
7. Ověřte souhlas
Přezkoumejte, jakým způsobem získáváte souhlas se zpracováním osobních údajů a zda jej potřebujete, či nikoliv (k řadě údajů nepotřebujete mít souhlas ke zpracování, například plnění ze smlouvy apod.).
8. Děti
Zpracováváte-li osobní údaje dětí,
myslete také na systémy, které ověří jejich věk a zaznamenají i souhlas jejich rodičů.
9. Únik dat
Ujistěte se, že
víte, jak postupovat v případě detekování, reportování a vyšetření úniku osobních dat.
10. Posouzení vlivu na ochranu osobních údajů
Pokud provádíte
systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na
automatizovaném zpracování, včetně
profilování,
zpracujte Posouzení vlivu na ochranu osobních údajů (tzv.
DPIA).
11. Zmocněnec pro ochranu údajů
Zjistěte, zda se na Vás
vztahuje povinnost ustanovit pověřence pro ochranu dat (DPO), nebo
stačí mít osobu zodpovědnou za osobní údaje a nakládání s nimi.
12. Mezinárodní dopad
Pokud působíte na mezinárodní úrovni, měli byste
znát i autoritu pro dohled nad ochranou údajů zemí, kde také podnikáte.