Ještě nejste připraven na GDPR?

17 Máj 2018

Ještě nejste připraven na GDPR?

Dne 25. května 2018 vstoupí v platnost nová směrnice schválena Evropským parlamentem. Její název je pro mnohé znám již nyní, GDPR - General Data Protection Regulation. Nové nařízení z Bruselu se bude týkat výhradně ochrany osobních údajů. Komplexně se připravit a přizpůsobit novým pravidlům může být často náročné, a proto se vám pokusíme přinést nejdůležitější informace, které nařízení GDPR zavádí.

Nepřipravenost firem

květen se neúprosně blíží a průzkumy (www.ey.com) ukazují, že více než 78% podnikatelských subjektů není s novými nařízeními GDPR stotožnené. Naopak asi 33% firem již zavedlo potřebné kroky, které jsou v souladu s nařízeními GDPR. Čas se krátí, a tak vám nabízíme přehled závažných změn, o kterých byste měli vědět, a které byste měli hned od 25. 05. 2018 aplikovat do praxe.

GDPR s platností pro každou firmu

Každá firma, organizace, instituce nebo dokonce zprostředkovatel (právník, advokát, účetní), který pracuje s osobními údaji je platností GDPR vázán. Evropská unie chrání všechny občany EU i mimo území Evropské unie.

Pokud tedy patříte mezi společnosti (firmy), které osobní data zpracovávají a dále využívají, musíte dodržovat stanovená pravidla a splnit požadavky, které nové nařízení GDPR definuje. Cílem GDPR je získat maximální ochranu pro občany EU, respektive osoby, s jejichž osobními údaji je manipulováno.

Co GDPR přináší a načež se připravit?

- Definice osobních údajů
V první řadě GDPR přesně vymezuje a rozšiřuje, což je považováno za osobní údaj. Při ochraně osobních dat je cílem, aby firma zacházela s údaji klienta s maximální zodpovědností. Osobním údajům je totiž jakákoliv informace, která umožňuje identifikaci subjektu údajů. Po novém i IP adresa či cookies.
- Platný souhlas uživatele
Při souhlasu uživatele bude muset být proces jasný, srozumitelný a jednoduchý. Souhlas již nebude moci být součástí obchodních podmínek a nebude moci být ani automatizovaný. Klient se sám musí rozhodnout, zda souhlas se zpracováním osobních údajů odebrat.
- Pověřenec pro ochranu osobních údajů – DPO
Firmám a institucím vznikne povinnost jmenovat pověřence pro ochranu osobních údajů. Ta bude odpovídat za celý proces zpracování a ochrany osobních údajů. Povinností tedy bude pravidelná kontrola, monitorování a dokumentace procesů zpracování osobních údajů. DPO je pojmenování pro pozici Data Protection Officer.
- Privacy Impact Assessment – PIA
Nové termíny zřejmě vystraší mnohé subjekty. V případě PIA jedná o posouzení možného vlivu na soukromí klientů v případě rizika ochrany osobních údajů. Podobné opatření by mělo být součástí již daného softwaru, který bude údaje zpracovávat. Rovněž můžete zaslechnout výraz jako "privacy by design", což značí, že podnik je prostě povinen, zajistit bezpečné zpracování osobních dat uživatele.
- Nahlášení úniku osobních údajů
I podle specialistů je tento krok velmi účinným. Dosud totiž případů, kdy by subjekt upozornil na únik osobních údajů, bylo absolutní minimum. V tomto případě vzniká subjektu povinnost nahlásit takovou událost do 72 hodin od jejího vzniku Úřadu pro ochranu osobních údajů.
- Právo na výmaz
Dosud známé jako "právo být zapomenut". Jde o konkrétní právo, které má každá fyzická osoba. Pokud požádá o odstranění (vymazání) osobních údajů, subjekt žádost posoudí a uživateli vyhoví. Zároveň údaje nesmí žádným způsobem zálohovat.
- Koncept jednotného přístupu
GDPR je platné v každé zemi EU. Samotný orgán, kterým je v případě ochrany osobních údajů Úřad pro ochranu osobních údajů, uplatňuje směrnici GDPR iv případě, že tyto společnosti mají sídlo mimo EU.
- Radikální pokuty
Částka 20 milionů eur zní opravdu hrozivě. I to je však možný postih, který vám hrozí v případě, že nařízení GDPR porušíte. Zároveň může sankce dosáhnout i výši 4% z celkového ročního obratu firmy. V závislosti na tom, která částka je vyšší.