Nařízení GDPR a jeho úskalí

26. 9. 2016 v sekci Článek

Osobní údaje jsou dnes plnohodnotným obchodních artiklem. Všichni prakticky žijeme online a není problém si o každém cokoliv dohledat. Data, která o sobě běžně poskytujeme, jsou vážně cenná, ale jaké změny přinese Evropským parlamentem nedávno přijaté obecné nařízení o ochraně osobních údajů, takzvané GDPR (General Data Protection Regulation)?

Nařízení GDPR upravuje zpracování osobních údajů fyzických osob, u kterého jsme se dosud řídili jednak zákonem č. 101/2000 Sb., o ochraně osobních údajů, a také směrnicí 95/46/ES, která upravuje ochranu osobních údajů na úrovni EU.

 

Jakožto nařízení je GDPR přímo závazné a jeho účinnost byla stanovena na 25. května 2018. S GDPR přichází řada nových prvků, dochází také k upřesnění a dokonce zpřísnění stávajících pravidel a zavádí se také povinnost jmenování tzv. „data protection officerů (DPO)“, neboli pověřenců pro ochranu osobních údajů. To bude platit zejména pro zpracovatele, jejichž činnost se týká zpracování velkého objemu citlivých údajů. Pověřenec by měl být vybaven rozsáhlými znalostmi. Pozice pověřence může být interní, stejně jako může zpracovatel využít vnějších zdrojů.

 

A koho by mělo GDPR vlastně zajímat?

Nařízení GDPR se dotkne prakticky každého, kdo zpracovává osobní údaje, a to napříč segmenty a odvětvími. Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností přepracovat metodiku zpracovávání osobních údajů. Do 25. května 2018 bude muset u všech, kterých se to týká, dojít k zásadní revizi interních systémů a způsobu nakládání s osobními údaji. Aby to nebylo tak jednoduché, budou GDPR podléhat i společnosti mimo EU, které zpracovávají osobní údaje spotřebitelů z EU v souvislosti s nabídkou zboží nebo služeb.

 

Co se například změní?

Nařízení GDPR přináší celou řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel schopen po dobu zpracování doložit. Přibyde tím velká administrativní zátěž, neboť bude muset být například dokumentováno, že jsou zpracovávána pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

Zásadně se mění také pojetí souhlasu ke zpracování osobních údajů. Stejně jako tomu je dosud, souhlas musí být svobodný, určitý, informovaný a jednoznačný. Nově však bude muset být žádost o souhlas formulována tak, aby ji bylo z druhé strany jasně porozuměno. A oblíbená část – souhlas se zpracováním osobních údajů – již bude muset být v případě uzavírání smlouvy oddělena tak, aby bylo jasné, že souhlas není bezpodmínečně nutný k uzavření oné smlouvy.

S GDPR dochází také k rozšíření pojmu „osobní údaj“, kam spadají i „technické“ údaje typu e-mailová adresa, IP adresa, cookies apod.

Upřesněna jsou i práva fyzických osob, například právo být zapomenut – díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány osobní údaje, které se jí týkají v případě, že není uveden další právní důvod pro jejich zpracování.

 

Oznamovací povinnost v případě porušení zabezpečení

Největším strašákem se však pro mnohé stala Oznamovací povinnost v případě porušení zabezpečení. Tedy kauzy masivních úniků na osobní data, o kterých se dozvídáme po letech, by se měly díky GDPR stát minulostí. Nově bude muset zpracovatel ohlásit ohrožení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů, a to nejpozději do 72 hodin od okamžiku, co se o incidentu dozvěděl. V některých případech dokonce bude povinností zpracovatele informovat i osoby/subjekty, kterých se únik týkal.

 

Jak zavést GDPR?

Akceptace GDPR je zcela zásadní pro další bezproblémové fungování všech, kteří nějakým způsobem zpracovávají osobní údaje. GDPR přináší rozsáhlé změny, na jejichž adaptaci máme aktuálně necelé dva roky, sankce, které hrozí v případě nedodržení nové legislativy, by mohly být pro mnoho zpracovatelů likvidační. Pokuta se může vyšplhat až k 20 milionům eur, případně až ke 4 % celkového ročního obratu společnosti celosvětově za předchozí finanční rok.

Každá organizace, která zpracovává jakékoliv osobní údaje, nyní stojí před otázkami: Co dál? Jak teď postupovat? Čím začít? Prvním krokem by měla být důkladná analýza aktuálního stavu, která se bude skládat z několika dílčích částí. Ty odhalí, proč která data zpracováváme a zda je to opravdu potřeba. Dále je zapotřebí odkrýt, podle jakých pravidel a jak s daty nakládáme, kam je ukládáme, zda o tom subjekty dostatečně informujeme, zvážit výhody a nevýhody zpracování všech dat, zhodnotit minimalizace ukládaných dat. K tomuto procesu je pak ideální přizvat zkušeného partnera, který provede komplexní analýzu a následně přednese návrh opatření, jenž pomůže uvést vše do chodu tak, aby byly nové standardy plynoucí z GDPR implementovány.

Ve všech fázích projektu je možné obrátit se na experty z Anectu, kteří vás jimi pohodlně provedou, a to od prvotní analýzy stavu, souladu a nedostatků s GDPR až po implementace veškerých nezbytných opatření.

Pokud slyšíte o GDPR poprvé, doporučuji navštívit úvodní workshop Anectu, kde vás s problematikou důkladněji seznámí.

Vaše SOCA






Tento web používá cookies. Více informací ROZUMÍM