Za rok začne být účinná evropská směrnice GDPR

12. 5. 2017 | Zdroj: BusinessInfo.cz

GDPR (General Data Protection Regulation) je zkratka, kterou jste možná již někde přečetli nebo o ní slyšeli. Pod tímto označením se skrývá obecné nařízení na ochranu osobních údajů a je současným nejvíce uceleným souborem pravidel na ochranu dat na světě. Co přinese GDPR podnikatelům a samosprávám?

Směrnice GDPR pohledem podnikatele

O tom co přinese GDPR podnikatelům a samosprávám mluvil časopis Komora s konzultantkou na ochranu dat Mgr. Evou Škorničkovou, která je externí specialistkou na tuto problematiku v AK Pečený, Fučík, Langer.

Co je to GDPR a proč se zavádí?
Toto nařízení o ochraně osobních údajů je souborem pravidel, která se týkají ochrany osobních údajů v rámci celé EU. Přijato bylo loni v dubnu a účinné bude od 25. května 2018. Jelikož se jedná o nařízení, je automaticky platné pro všechny členské země EU a nemusí být transponováno do národní legislativy. Hlavním důvodem, proč nařízení vzniklo, je skutečnost, že stále více osobních údajů se přenáší na internet. Lidé si mnohdy ani neuvědomují, jakým rizikům se vystavují tím, že vloží citlivé informace do nějakého systému. GDPR vrací rozhodování o tom, do jaké míry mohou společnosti a instituce zacházet s osobními údaji, do rukou lidí. Každá fyzická osoba by si měla uvědomit svá práva a sama o nich rozhodovat, k čemu mohou být její data využívána. Rovněž firmy a instituce, které s těmito daty pracují, nevěnují dostatečnou pozornost jejich zabezpečení, často dochází k únikům osobních dat.

Jaké zásadní změny nás tedy čekají?
GDPR se netýká jenom práva ani jenom oblasti IT. Já říkám, že přináší kulturní změnu v zacházení s osobními údaji. Jde o to, aby společnosti a veřejná správa začaly přemýšlet, jakým způsobem s osobními údaji zacházejí a nakládají. Sice už máme platný zákon o ochraně osobních údajů, který je velmi dobrý, ale 95 procent společností ho nedodržuje. Kdyby všichni dodržovali současně platné zákony, budou mít nejméně polovinu práce s GDPR hotovou. To se ale bohužel neděje. Vzhledem k poměrně nízkým sankcím snad žádný subjekt dosud neimplementoval všechny principy tak, jak to zákon vyžaduje.

S GDPR ovšem přichází zásadní změna. Soukromé i veřejné subjekty budou muset zavést řadu opatření, jinak jim hrozí velmi vysoké pokuty. A mnohá opatření jdou ještě nad rámec současného zákona o ochraně osobních údajů. Například povinnost jmenovat pověřence pro ochranu osobních údajů. Změní se také princip spolupráce dozorových orgánů. U nás je dozorovým orgánem Úřad na ochranu osobních údajů, a pokud český občan bude mít problém třeba s Facebookem, podá stížnost k tomuto úřadu. Facebook má ale centrálu v irském Dublinu. Český dozorový orgán se tedy bude muset spojit s dublinským a celou věc řešit ve spolupráci s ním. Výsledek pak stěžovateli sdělí opět jeho mateřský úřad.

Kdo bude moci dát podnět dozorovému orgánu k vykonání kontroly?
Dozorový orgán může konat samostatně, tedy vytipovat si subjekt a přijít k němu na kontrolu z vlastní vůle. Já si ale myslím, že hodně podnětů bude pocházet i od samotných občanů, fyzických osob. Až si uvědomí, jaká práva mají, začnou asi mnozí tlačit na společnosti a úřady, aby jim sdělily, jaká data o nich zpracovávají a k čemu je užívají. A pokud nebudou spokojeni, budou si stěžovat. Někdy to může vést až k šikanování firem a institucí od lidí, kteří budou neustále dokola vyžadovat informace o tom, jakým způsobem se pracuje s jejich osobními údaji. Velký tlak nastane podle mě i v rámci konkurenčního boje. Pokud nějaká společnost investuje do ochrany osobních údajů velké peníze, pravděpodobně se ohradí proti konkurentovi, který bezpečnostní opatření zanedbává a díky tomu nabízí levnější produkty či služby.

Najaké subjekty se GDPR vztahuje?
V podstatě na každou společnost či instituci, která pracuje s osobními údaji. A je jedno, zda se jedná o údaje klientů, pacientů nebo třeba zaměstnanců. GDPR má navíc extrateritoriální působnost. To znamená, že se nevztahuje jen na společnosti, které mají sídlo na území EU, ale i na ty, které prodávají zboží či nabízejí služby evropským rezidentům nebo monitorují jejich data. Takže dosah GDPR je celosvětový.

Co musejí v souvislosti s GDPR udělat samosprávy?
Vzhledem k tomu, že GDPR se vztahuje i na orgány veřejné správy, měly by se obecní, městské a krajské úřady seznámit s tím, co je čeká. V prvé řadě bych proto doporučovala navštívit nějaké školení. Dalším krokem by měl být vnitřní audit. Jeho prostřednictvím úřady zjistí, jaké typy osobních údajů o fyzických osobách, tedy občanech i zaměstnancích, zpracovávají a jak s nimi nakládají. To je pak třeba porovnat se zásadami GDPR a přijmout opatření, která pomohou uvést praxi do souladu s tímto nařízením.

U veřejné správy je řada úkolů a operací s osobními daty prováděna ze zákona, a není k tomu proto třeba žádat souhlas občanů se zpracováním. GDPR ale výrazným způsobem posiluje práva osob. Jedním z nich je právo přístupu. To znamená, že fyzická osoba by měla přesně vědět, jaký typ údajů se o ní vede, kde jsou zpracovávány, s kým jsou osobní údaje sdíleny. Každému právu odpovídá povinnost na druhé straně. Takže i veřejná správa musí být připravena na to, že někdo přijde a zeptá se, jaké údaje o ní úřad vede, za jakým účelem a co s nimi dělá a jak je chrání. Úřad musí být schopen na takový dotaz relevantně odpovědět.

Můžete uvést některá opatření, která bude nutné na úřadech provést?
Určitě bude třeba posílit zabezpečení citlivých dat. Někde třeba mají všichni zaměstnanci z IT oddělení možnost nahlížet do pracovních smluv zaměstnanců ostatních oddělení. To ale přece není nutné a určitě jde zajistit, aby oprávnění nahlížet do smluv měli jen lidé, kteří se zabývají personální agendou. Řešit bude nutné například i posílání citlivých dat mezi jednotlivými úředníky. Odesilatel i příjemce sice mohou být oprávněni taková data zpracovávat, ale když si je pošlou běžným, nezabezpečeným e-mailem, může snadno dojít k jejich odcizení a následnému zneužití nepovolanou osobou.

Budou samosprávy muset zřizovat pozici pověřence pro ochranu osobních údajů?
Pověřenec je povinný i pro veřejnou správu. V současné době připravuje Ministerstvo vnitra metodiku pro organizace veřejné správy, jakým způsobem by měly činnost pověřenců pokrýt. Určitě bude možné mít pověřence společného pro více úřadů, a zvláště menší obce určitě budou hledat cestu, jak náklady na tuto funkci sdílet.

Kde by měly obce takového pověřence hledat? Je na tuto funkci předepsaná nějaká kvalifikace nebo certifikát?
Pověřenec bude jakýmsi průvodcem a auditorem zároveň, který danou instituci provede ochranou dat. Bude sledovat, zda jsou postupy nastavené pro zpracování a ochranu dat správné, a doporučovat úpravy a opatření. Musí to být osoba, která rozumí oboru dané instituce či společnosti. To znamená, že nemůže existovat jednotná kvalifikace, která by osobu opravňovala k výkonu této funkce. Úplně jiné nároky budou na znalosti pověřence v nemocnici a jiné třeba v bance.

Jaké postavení bude mít pověřenec v rámci úřadu?
Pověřenec nesmí současně vykonávat funkci, která určuje účel zpracování dat. Aby nekontroloval sám sebe. Nemůže tedy být například vedoucím personálního oddělení, oddělení IT a podobně. Podřízen bude přímo vedoucímu dané společnosti nebo jednotky, tedy například řediteli nemocnice, tajemníkovi úřadu a podobně.

Bude nutné kvůli GDPR měnit stávající informační systémy, nebo dokonce nakupovat nové?
Důležité je navázat na to, co už firmy a úřady mají. Proto opakovaně zdůrazňuji význam auditu. Je třeba zmapovat nástroje, které používáme, a zda a jakým způsobem je možné je přizpůsobit, aby byly v souladu s GDPR. Určitě nebude třeba všechno staré zahodit a pořizovat něco jiného. Rozhodně nedoporučuji podlehnout firmám, které v GDPR vidí obrovskou příležitost a budou se snažit nabízet nejrůznější produkty. Například šifrovací software. Nejdřív je třeba provést analýzu a teprve na jejím základě se rozhodovat, co dál.

Kde vidíte největší problém při zavádění GDPR do praxe?
Pro veřejnou správu budou velkými problémy čas a finance. Nařízení bude účinné od května 2018, a i kdybychom dnes začali s audity a analýzami, za rok se nejspíš nestihnou realizovat všechna opatření, která z nich vyplynou. Vždyť na řadu věcí bude třeba vypsat výběrová řízení podle zákona o zadávání veřejných zakázek, a to nějakou dobu trvá. Opatření budou něco stát a v rozpočtech samospráv na to nejspíš nejsou vyčleněné peníze. Chybět patrně budou i kvalitní odborníci, kterých není nadbytek, a jak se blíží účinnost GDPR, poptávka po nich jistě silně poroste. Co určitě mohu doporučit, je zohledňovat požadavky GDPR už v současných výběrových řízeních a zakázkách. Aby úřady nemusely za rok měnit něco, co si sotva pořídily.

Převzato z časopisu Komora. Autor článku: Dagrmar Klimovičová. Foto: archiv

 

Směrnice GDPR pohledem podnikatele

V posledních letech hodně slýcháme o tzv. big data, tj. sběru informací, které po sobě v kyberprostoru zanecháváme a jejich násled ném využívání k cílené reklamě. Jistě jsme již všichni slyšeli, jak se taková data dají zneužít nejen ke komerčním účelům, tedy k reklamě, newsletterům nebo telefonickému kontaktování, ale i k usměrňování veřejného mínění a k politickým cílům. Stačí se jen okrajově podívat na to, jakým způsobem ovlivnily tyto skutečnosti nedávné americké volby nebo referendum o vystoupení Velké Británie z Evropské unie. A právě v této době je směrnice GDPR obzvláště důležitá. Bez nadsázky se dá říci, že se jedná o největší změnu legislativy v oblasti nakládání s osobními daty za posledních 20 let.

O tom, že se způsob ukládání a spravování osobních dat, a hlavně jejich množství za tuto dobu zásadně změnily, nemá vůbec smysl polemizovat. O GDPR je poslední dobou hodně slyšet. Stále se však najdou jedinci, kteří dopad této směrnice zpochybňují. Většinou se jedná o manažery, kteří nemají dostatečnou znalost této legislativní změny. Z pohledu nákladů na implementaci opatření, která zajistí soulad s GDPR, se bude jednat o vyšší částky než při zavádění elektronické evidence tržeb (EET). GDPR se navíc plošně bude týkat všech firem, které spravují jakákoli osobní data o občanech Evropské unie. V českém prostředí se tak jedná téměř o všechny firmy, protože většina firem uchovává minimálně data o svých zaměstnancích, klientech, dodavatelích a dalších subjektech, například potenciálních zákaznících.

Jak se tedy GDPR dotkne vaší společnosti a jaké kroky je potřeba udělat, abyste byli v květnu příštího roku připraveni? Níže jsem nastínil postup a shrnul jej do 9 nejdůležitějších kroků:

  1. Promluvte si v širším vedení vaší společnosti o GDPR, zda jsou si všichni jeho členové vědo mi tohoto nařízení a zda vědí, jaký dopad může mít zavedení směrnice na jejich úsek.
  2. Uvědomte si, jaká osobní data vaše organizace zpracovává a uchovává, kde jsou tato data uložena, kdo k nim má přístup a zda se tento přístup monitoruje a ukládají se informace o přístupech pro případnou pozdější kontrolu. Také neza pomeňte na kontrolu, s kým a jakým způsobem osobní data sdílíte a jaký je důvod pro uchovávání těchto dat. V tomto úvodním kroku bych zejména větším společnostem doporučil datový a bezpečnostní audit, který tyto procesy zmapuje a upozorní na případné nedostatky.
  3. Pokud při auditu najdete nepřesná nebo neúplná osobní data, pak je tato data potřeba opravit, a pokud je sdílíte s dalšími organizacemi, je nutné je na to také upozornit.
  4. Zkontrolujte vaše oznámení o sběru osobních dat a proveďte nezbytné změny tak, aby bylo oznámení v souladu s GDPR. Podle současné právní úpravy jste povinni uvést, jak máte v úmyslu data použít, a nově podle GDPR budete muset vysvětlovat právní základ pro zpracování údajů, délku uchovávání a okruh dalších subjektů, se kterými mohou být data sdílena. Zde doporučuji tato pravidla definovat ve spolupráci s právníkem.
  5. Ujistěte se, že máte přesně stanovenou politiku, která řeší, jak dlouho budete mít data v držení a že máte přesně popsáno, jakým způsobem budou data po skončení této doby vymazána.
  6. Jednotlivci mají právo přístupu k informacím, které o nich schraňujete, mají právo data upravit nebo požadovat jejich vymazání (právo být zapomenut). GDPR výrazně zkracuje dobu, kdy musíte být schopni tyto akce udělat. Připravte se na revizi těchto procesů.
  7. Ujistěte se, že máte funkční systém pro potvrzení věku jednotlivců, kteří vám data poskytují. GDPR se hlouběji zaobírá i právy dětí a váš informovaný souhlas musí být jednoduše srozumitelný i dítěti.
  8. Ujistěte se, že máte nastavené procedury, které dokážou rozpoznat bezpečnostní incident, nahlásit incident dozorujícím orgánům a provést průzkum toho, co se stalo. Tady bych doporučil opět bezpečnostní audit a řídit se jeho doporučeními. Taktéž se v tomto bodě bude skrývat dost pravděpodobně největší část investic do nových technologií, které tyto procedury dokážou naplnit. Z pohledu IT oddělení bude toto naprosto zásadní a klíčová věc v celém procesu a vyžádá si kromě finančních prostředků také největší díl času. Obzvláště u větších firem už jsme za bodem, kdy by se mělo ideálně s bezpečnostním auditem začít.
  9. Pokud se na vás bude vztahovat povinnost ustanovit Data Protection Officera (DPO), tak jej začněte včas hledat. GDPR nestanovuje nutnost jmenování DPO plošně pro všechny organizace, ale je potřeba mít minimálně osobu zodpovědnou za osobní data a nakládání s nimi. Role DPO může být plněna interním, ale i externím člověkem.

Jak je z výše uvedeného zřejmé, tak se zejména u větších organizací nebo organizací, které zpracovávají větší množství osobních údajů, jedná o problematiku velice komplexní a při rozložení těchto kroků do časové osy zjistíte, že čas pro přípravu už začal.

Převzato z časopisu Komora. Autor článku: Václav Petrželka. Foto: archiv.

Tisknout Vaše hodnocení:

Související články

Diskuse k článku

+ Nový příspěvek