Obecné nařízení pro ochranu osobních údajů hrozí půlmiliardovými pokutami

EET stále bojuje s porodními bolestmi a na mnohé firmy se chystá další legislativní strašák – GDPR. Tato anglická zkratka se používá pro Obecné nařízení pro ochranu osobních údajů, které bude mít na fungování mnoho firem silný dopad. Jak je ovlivní?
GDPR

GDPR zákon vstoupí v platnost už za pár měsíců. Bude mít větší dopad než EET?

Do Česka míří nový zákon o ochraně osobních údajů, který svým dopadem na firmy nejspíše překoná elektronickou evidenci tržeb. Přináší riziko více než půlmiliardových pokut pro všechny firmy nehledě na jejich velikost. Účinnost zákona postihne zhruba 80 % firem. Příprava na GDPR pak může firmy vyjít na 50 000 až několik milionů, podle velikosti a zaměření firmy. Jak se na zákon připravit, abyste ochránili svou firmu před půlmiliardovou pokutou?

GDPR pod lupou

GDPR (General Data Protection Regulation) je nařízení Evropského parlamentu a Rady EU o ochraně osobních údajů s účinností pro Českou republiku od 25. 5. 2018. Vztahuje se na všechny organizace, které zpracovávají osobní údaje občanů v Evropské unii, tedy téměř na každou společnost. Jedná se o celosvětově nejpřísnější a nejkomplexnější normu na ochranu osobních dat. Důvodem zavedení je snaha poskytnout občanům větší kontrolu nad tím, co se děje s jejich osobními údaji. O vážném úmyslu zákonodárců svědčí především likvidační pokuta, jež by postihla většinu firem, ve výši 20 milionů eur (540 mil. Kč), nebo 4 % z celkového obratu firmy, v závislosti na tom, která z uvedených hodnot je vyšší.

Nejdůležitější změny

Kromě podstatného navýšení pokut za nedodržení přináší GDPR celou řadu dalších změn. Mezi ty nejdůležitější patří:

  • Povinné hlášení úniku dat– bezodkladně, do 72 hodin od zjištění.
  • Vyžadována role DPO (Data Protection Officer) v případě organizací systematicky zpracovávajících osobní údaje.

- Příkladem systematického zpracování může být téměř jakékoliv automatizované zpracování osobních údajů nebo informací o lokaci.

- DPO nesmí být v konfliktu zájmu, tedy nemůže to být např. IT nebo obchodní ředitel

  • Odpovědnost prokázat funkční, technické a organizační opatření ochrany dat.

- Zde se může jednat v rámci nutných opatření například o úpravu informačních systémů, aby splňovaly nároky GDPR, anebo o vypracování posudku DPIA (Data Protection Impact Assessment)

  • Pseudonymizace osobních údajů.

- Nově bude nutné uchovávat osobní údaje odděleně tak, aby nemohly být přiřazeny ke konkrétnímu člověku.     

  • Právo být zapomenut

- Občan bude nově moci požádat o kompletní vymazání osobních údajů i jejich kopií.

  • Dopad na všechny organizace, které zpracovávají osobní údaje občanů v EU.

- Např. firmy, které nabízí zboží či služby, anebo jsou zaměstnavatelé v EU.

Podstatné rozšíření definice osobní údajů

Oproti předchozí směrnici z roku 1995, kdy byly pojmy jako sociální síť nebo biometrické údaje ještě relativně v plenkách, přichází GDPR s rozšířením definice osobních údajů. Za osobní údaj se považují samozřejmosti jako jméno, příjmení, pohlaví, věk, osobní stav, ale také IP adresa, telefonní číslo, fotografie nebo otisk prstu. Obecně vzato jakýkoliv údaj, který umožní osobní identifikaci osoby. Konkrétně to pak mohou být:

• Údaje o zákaznících/pacientech/občanech (marketingové databáze kontaktů, seznamy zákazníků, zdravotní karty pacientů,..).

• Údaje o obchodních partnerech a dodavatelích (neveřejné osobní údaje dodavatelů).

• Osobní údaje předávané ke zpracování třetím stranám (účetní podklady, přímý marketing, úvěrové registry).

Jak připravit firmu na GDPR?

Pokud se chcete vyhnout astronomickým pokutám a provést řádnou přípravu firmy na GDPR, je nutné si zodpovědět několik otázek:

  • Jak firma zpracovává osobní údaje, o jaké údaje se konkrétně jedná a odkud se do firmy dostávají?
  • Kde jsou osobní údaje uchovávány a jak je k nim řízen přístup?
  • Jakou má organizace strukturu: personální, fyzickou, technickou, enviromentální?
  • Je ve firmě osoba zodpovědná za bezpečnost? Fungují školení zaměstnanců?
  • Jaké má firma v současné době zavedené IT systémy, které osobní údaje zpracovávají a jak jsou zabezpečené? Jak je zabezpečená IT infrastruktura a datová úložiště?
  • Bude firma potřebovat zaměstnat DPO (Data Protection Officer) pozici?

Na tyto a mnohé další otázky je třeba si v rámci přípravy na GDPR odpovědět a v případě nalezení potenciálních zranitelností samozřejmě zjednat nápravu. Ideálním začátkem pro nalezení těchto odpovědí je tzv. GAP analýza, která primárně zjišťuje, v jakém stavu se firma nachází a co případně má či nemá zavedeno.

Na základě výsledků GAP analýzy se pak může provést Business Impact Analýza (BIA), Data Protection Impact assessment (DPIA) nebo Vulnerability scan, který skenuje zranitelnosti na IT síti, PC a serverech a ověřuje tak aktuální zabezpečení IT infrastruktury.

GDPR tedy pravděpodobně zasáhne nižší procento firem než EET. Náročností na přípravu a finanční náročností na jejich realizaci ale EET velmi pravděpodobně překoná.Co se náročnosti přípravy týče, nejpodstatnějším ukazatelem je množství potřebného času. Tak např. pro společnost o 100 zaměstnancích vychází odhadované dokončení příprav na květen 2018.

Pokud byste byli v GPDR ztraceni, rádi pomůžeme s komplexní přípravou firmy na GDPR, a to včetně případného outsourcingu DPO (Data Protection Officer).

Celkové znění zákona GDPR k dispozici na Slideshare.

Data Protection Officer specifikace.

Buďte na GDPR připraveni!

napište nám

Přidat komentář