GDPR nařízení od EU se rychle blíží

Obecné nařízení o ochraně osobních údajů (GDPR z anglické zkratky General Data Protection Regulation) bylo Evropským parlamentem a Radou vyhlášeno už v dubnu 2016. Tehdy se to hodně řešilo, nicméně panika velmi rychle ustala. Všechny uklidnilo, že budou novinky účinné až od 25. května 2018. Jenže tohle datum se nezadržitelně blíží. Už ani ne za rok se novým zařízením budete muset řídit. Víte vůbec, o co jde? Ačkoliv se může zdát, že máte ještě dost času, ve skutečnosti je všechno jinak. Změny jsou za rohem a v květnu je budete řešit těžko, pokud nemáte aspoň představu, co vás čeká. Doposud jste vázáni pouze českým Zákonem o ochraně osobních údajů, ale od května 2018 se to změní. Ochrana osobních údajů GDPR je mu nadřízená.

Co musí firmy podle GDPR nařízení dělat?

Nejdříve si pořádně nastudovat, co jim GDPR ukládá za povinnosti. Jestliže se musí tomuto nařízení podřídit v plném rozsahu, nezbývá než zavést patřičný kodex, procesy a systémy. Firmy musí šifrovat či anonymizovat citlivá data, pracovat s údaji jako s celkem. Měly by být schopné zobrazit uživateli osobní údaje, které o něm uchovávají, na požádání je upravit nebo smazat.

GDPR nařízení lze pojmout i jako příležitost konečně zmodernizovat firemní informační systém, zvýšit bezpečnost a celkově vylepšit procesy práce s informacemi.

Kde vzít informace?

Celé znění GDPR nařízení je k dispozici česky, najdete ho různě na internetu. Po ČR také probíhají školení na toto téma, své služby nabízí i odborníci. Možnou cestou je rovněž GDPR certifikace, v rámci níž vám auditor pomůže doladit procesy, systémy i kodexy, aby odpovídaly GDPR směrnici. Takový certifikát může navíc u zákazníků a obchodních partnerů vybudovat dojem důvěry. Důležité je začít jednat. GDPR se vyhnout nelze a čím déle budete strkat hlavu do písku, tím bude pak příprava náročnější.

Více informací o GDPR nařízení najdete zde:
https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/

Vyžádejte si GDPR certifikaci

Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupí v platnost už během následujícího května. Občanům EU má přinést lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy ho však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné.

Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.

Co vlastně musí firmy dělat jinak?

Společnosti budou muset implementovat ochranu dat, vypracovat tzv. Data Protection Impact Assessment (posouzení vlivu na ochranu osobních údajů), některé jmenovat Data Protection Officer (pověřence pro ochranu osobních údajů), vést záznamy o zpracování osobních dat a konzultovat rizikové záležitosti s dozorovým orgánem. Pokud se podíváme na konkrétní příklady, bude nezbytné vlastníky údajů informovat o tom, co s jejich daty provádíte. Ti budou mít kdykoliv možnost požádat o odstranění svých informací, jestliže už je nadále k ničemu nepotřebujete. Nově bude rovněž nezbytné nahlásit jakýkoliv únik citlivých informací, abychom se o něm nedozvídali až o několik let později, jako tomu bylo v loňské kauze Yahoo.

Možná by bylo dobré také vyjasnit, že za osobní údaje GDPR považuje jméno, příjmení, pohlaví, věk, datum narození, fotografický záznam, nákupy, osobní stav, IP adresu, e-mail, telefonní číslo, genetické, biometrické údaje, náboženské a politické názory, zdravotní stav, sexuální orientaci, trestní delikty.

A k čemu to všechno je?

Uvědomte si, že i ředitel firmy se běžně dostává do opačné situace. Také o něm některé společnosti uchovávají citlivé údaje. Práv občanů přináší GDPR nařízení hodně. Musí mít přístup ke všem o nich uchovávaných údajům a být informováni o tom, za jakým účelem se tato data zpracovávají. Pokud nejsou údaje potřeba, zpracovatel je musí vymazat. Pro výmaz existuje ještě několik dalších důvodů. Každý bude mít také právo být zapomenut.

Nové zařízení přišlo zejména z důvodu, že stará legislativa ohledně ochrany osobních údajů platí již od roku 1995. Tehdy neexistovalo nic jako cloudová úložiště, sociální sítě a další technologie dnešní doby. Avšak ani GDPR nařízení nepokryje plně všechny moderní problémy. Nepočítá výslovně například s IoT (Internetem věcí) nebo BYOD (Bring Your Own Device – zaměstnanci si nosí do práce vlastní zařízení).

Jak se vypořádat s přísnými nařízeními?

Jestliže jste ze všeho zmatení a nevíte přesně, jak se na GDPR připravit, můžeme vás uklidnit. Nejste jediní, přesně takhle se cítí většina firem. Nabízí se spousta různých řešení, včetně GDPR certifikace. Můžete si načíst informace online, vydat se na nějaký kurz, jichž se po celé ČR koná spousta, nebo si rovnou vyžádat GDPR audit. To je nezávislá prověrka, která zhodnotí vaši připravenost, pomůže doladit procesy, systémy i dokumentaci a nakonec vás ocení certifikátem, jenž udělá dojem na klienty a partnery. Hlavně vše začněte řešit s dostatečným předstihem, protože čas běží.

A na závěr pro vás máme ještě jednu pozitivní zprávu. GDPR nařízení se nevztahuje v plném znění úplně na všechny firmy zpracovávající osobní údaje. Záleží také na velikosti a tom, čím se zabýváte. Informujte se včas, co je vaší povinností.

Povinná ochrana osobních údajů GDPR se blíží

Nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů. To je aktuálně velice žhavé téma, které se týká poměrně velkého množství subjektů. Zkráceně GDPR nařízení začne platit s účinností od 25. května 2018 a vztahuje se na řadu právnických osob a podnikatelů, včetně veřejného sektoru.

Jaké jsou chráněné osobní údaje?

Výše uvedené nařízení se týká ochrany osobních údajů, mezi něž patří jméno, bydliště, datum narození, rodné číslo, ale také číslo pasu, občanského průkazu nebo toho řidičského. Výjimkou nejsou ani některé elektronické údaje.

Jak se GDPR dotýká firem?

Poměrně zásadním způsobem. Ve společnostech by měl být jmenován tzv. pověřenec dohlížející na ochranu osobních údajů. To však není jediná povinnost. Důležité je také zavedení nejrůznějších kodexů souvisejících s touto tématikou, včetně nových procesů a systémů. Nařízení GDPR je zkrátka nevyhnutelnou zátěží, kterou musí pod pohrůžkou poměrně vysoké finanční sankce dodržovat skutečně každý. Zanedbání ochrany osobních údajů se může stát dokonce trestným činem.

Využijte profesionální GDPR audit

Jestliže zrovna nedisponujete zkušeným právníkem ve své společnosti nebo organizaci, na níž se vztahuje GDPR, upotřebte externích služeb a konzultací. Nechte si v této otázce poradit od specialistů, jež vám zpracují kompletní GDPR audit od certifikované autority.

Pakliže zacházíte s osobními údaji a nakládáte s nimi v rámci nejrůznějších podnikatelských aktivit, začněte v této oblasti konat patřičné kroky. Datum účinnosti se blíží mílovými kroky a vy musíte být připraveni na GDPR nařízení v plné míře.

Vymaňte se z hledáčku organizací, které zanedlouho půjdou po striktním dodržování ochrany osobních údajů, a buďte v obraze. Nechte si zpracovat GDPR datový audit, včetně auditu kodexu.