Určitě jste již slyšeli o GDPR, obecném nařízení o ochraně osobních údajů, které nabude účinnosti 25. května 2018. Jak se píše v řadě článků, kompletně změní problematiku ochrany osobních údajů v rámci států Evropské unie a Evropského společenství volného obchodu.
Přestože vstoupí GDPR v účinnost až 25. května 2018 a může se zdát, že je na to dost času, tak vás bohužel musím zklamat. Není. Času už moc nezbývá.
GDPR představuje nový právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. Týká se všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel a nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Pověřenec pro ochranu osobních údajů).
Tímto článkem Vás nechci strašit, ale informovat o tom, co je potřeba udělat. GDPR totiž není norma, kterou je radno podceňovat. Ale zároveň to není žádný obrovský strašák, který Vás bude omezovat v podnikání. V řadě případů ani nebudete muset významně investovat do stávající ochrany osobních údajů. Je to něco, na co je potřeba se připravit nejenom v rovině právní, ale i v rovině organizační a technické.
GDPR zavádí celou řadu nových pravidel, jejichž platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž. Bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
GDPR dává lidem, kterým údaje patří (subjekty údajů), do rukou nová práva. Budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody. Nebo o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu. Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány. Novým je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů. Už by se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika leta a náhodou, ale nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.
Celý proces uvedení do souladu s GDPR má v podstatě 4 etapy. Základem je dobrá vstupní analýza – je třeba zjistit, jaké osobní údaje máte, kde se nacházejí a kdo k nim má přístup. Následným krokem je rozhodnutí o způsobu využití osobních údajů a přístupu k nim. Pak teprve přichází zavedení vlastních bezpečnostních opatření. Poslední etapou je už udržování potřebné dokumentace. Je třeba chápat GDPR jako příležitost udělat si v datech pořádek a přehled. Připravit se. A v tom Vám můžeme pomoci.
Přečtěte si také článek:
GDPR – jak je to s tím souhlasem?
Nabízíme také GDPR poradenství