Ve zkratce: Nařízení se i v Česku dotkne prakticky všech firem, nebo jednotlivců, kteří zpracovávají osobní údaje zaměstnanců, zákazníků, klientů či dodavatelů.
„Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit metodiku zpracovávání osobních údajů. V případě porušení nařízení budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační,“ varuje Eva Škorničková, právní konzultantka pro IT bezpečnost a ochranu osobních údajů.
Současná legislativa EU z roku 1995, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například sociální sítě či cloudová úložiště. GDPR začne být v celé EU účinné od května 2018. Protože byla nová pravidla přijata formou „nařízení“, budou platit ve všech státech EU jednotně a konzistentně.
Nařízení s sebou přinese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzivnější spolupráci dozorových orgánů. Pokuty mohou být pro české firmy až likvidační – dosahují i 20 milionům eur, případně až čtyř procent celosvětového obratu.
Co se změní?
Nařízení GDPR přináší řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu tím velká administrativní zátěž, bude například povinen dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
S GDPR dochází také k rozšíření pojmu „osobní údaj“, který bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie. Nově je zavedena klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim. Rozsáhlé změny nastanou také v oblasti pojetí souhlasu ke zpracování osobních údajů. Naprostou novinkou pak bude tzv. právo být zapomenut, kdy může každý požadovat, aby byly bez zbytečného odkladu vymazány jeho osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
„Podniky budou mít rovněž oznamovací povinnost v případě porušení zabezpečení osobních údajů, kdy budou muset takovou skutečnost ohlásit Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od zjištění incidentu,“ dodává Eva Škorničková.
Každá organizace, která zpracovává jakékoliv osobní údaje, tak nyní stojí před otázkami: Co dál? Jak postupovat? Čím začít?
„Právě čas do května 2018 je jakýmsi přechodným obdobím, během něhož musí u všech, kterých se nařízení týká, dojít k zásadní revizi interních systémů a způsobu nakládání s osobními údaji. Prvním krokem by měla být důkladná analýza aktuálního stavu, která se bude skládat z několika dílčích fází. Ty odhalí, proč a jaká data zpracováváme a zda je opravdu potřebujeme. Dále je zapotřebí odkrýt, podle jakých pravidel a jak s daty nakládáme, kam je ukládáme, zda o tom subjekty dostatečně informujeme,“ uvádí Eva Škorničková.
Podniky tak budou muset podrobit pečlivé kontrole vlastní informační a jiné systémy, typicky například ERP systémy, aby v nich odhalily z hlediska ochrany dat slabá místa. Zároveň musejí společnosti proškolit i vlastní zaměstnance, aby s osobními daty nakládali v souladu s novým nařízením.
„Zaprvé musejí firmy zajistit samotnou ochranu dat, která o lidech shromažďují, ať už se jedná například o šifrování nebo zabezpečení přístupu k datům zvnějšku i zevnitř firmy. Zde pomůže především vhodně zvolené softwarové řešení, v některých případech to bude znamenat zásadní změny spojené s přestupem na novou verzi software, nebo i změnou dodavatele.
Druhou stránkou jsou pak systémové a procesní prostředky, díky kterým dokáže firma vhodným způsobem vyškolit a vzdělat v oblasti ochrany osobních dat vlastní personál i pracovníky třetích stran, se kterými spolupracuje,“ upozorňuje Tomáš Belák, Chief Design Architect ve společnosti Intelligent Studios.
Zatímco zabezpečení dat lze vyřešit pořízením funkčního softwarového řešení, s interním proškolováním zaměstnancům a související administrativou mohou nastat problémy.
„Technicky lze systémy zabezpečit poměrně snadno, je k tomu možné využít i různé systémové nadstavby, které se zaměří pouze na ochranu dat. Na druhé straně ale softwarová firma nedodá různé směrnice a smlouvy, ať už s vlastními zaměstnanci nebo pracovníky třetích stran. Společnosti budou přitom muset evidovat, že všechny zainteresované osoby informovaly a proškolily ohledně ochrany osobních dat a zároveň, že to zaměstnanci berou na vědomí. Toto jsou aspekty, se kterými budou mít firmy velké problémy z procesního hlediska,“ varuje Tomáš Belák.