Nová pravidla o ochraně osobních dat

General Data Protection Regulation (GDPR)

Nejpozději od května 2018 se musí začít uplatňovat nařízení EU 2016/679 o ochraně osobních údajů. Toto nařízení EU si klade za cíl zvýšení zabezpečení ochrany osobních údajů jednotlivců v rámci Evropské unie a také upravuje pravidla exportu a manipulace osobních údajů mimo EU. Nové nařízení se dotkne všech podnikatelských subjektů, které spravují nebo zpracovávají osobní data Pro české firmy a organizace to znamená, že budou muset přijmout nová technická a organizační opatření, aby zajistili, že zpracování údajů je prováděno v souladu s tímto nařízením.

Nejdůležitější požadavky týkající se GDPR:

  1. GDPR má globální působnost
    GDPR platí pro všechny organizace, které spravují nebo zpracovávají data občanů EU na celém světě.
  2. GDPR definuje rozsah osobních dat
    GDPR rozšiřuje oblast, co pod osobní data patří. GDPR rozšiřuje definici ochrany dat na jakákoliv data, která vedou k identifikování osobních informací osob.
    V praxi to znamená, že bezpečnostní opatření se musí implementovat na všechny části firemních IS, které nějakým způsobem zpracovávají data vztahující se k osobním údajům. GDPR zahrnuje i data týkající se například genetiky, duševního zdraví, kulturní, ekonomické a sociální situace občanů.
  3. GDPR zpřísňuje pravidla pro získání souhlasu s použitím osobních údajů
    Firmy a organizace musí být schopny doložit souhlas ke správě a zpracování osobních dat. Již nebude stačit pasivní souhlas občana.
  4. Vytvoření role „Data Protection Officer“
    GDPR požaduje, aby orgány státní správy, které zpracovávají osobní informace, jmenovali odpovědnou osobu za ochranu osobních údajů. Podobnou pozici budou muset vytvořit ty subjekty, které pravidelně shromažďují nebo zpracovávají velké množství osobních dat nebo pracují s dalšími specifickými daty, které prvky osobních informací vykazují.
  5. GDPR nerozlišuje velikost organizace
    GDPR, při uplatňování požadavků, nerozlišuje velikost firmy. Požadavky se musí aplikovat na všechny firmy stejně bez rozdílu její velikosti a počtu pracovníků.
  6. GDPR zavádí povinné PIA – Privacy Impact Assessment
    GDPR požaduje povinné posuzování dopadů na soukromí občanů - privacy impact assessment (PIA). Tento požadavek se vztahuje na identifikaci a vyhodnocení dopadů rizik v celém životním cyklu zpracovávání a správy osobních dat. Tyto dopadu se musí zohlednit také při vývoji programů nebo IS pro zpracování osobních údajů.
  7. GDPR - podávání informací týkající se úniku dat
    Organizace musí zavést taková opatření, která jsou schopny kontinuálně monitorovat narušení integrity dat, případně jejich únik.
    Oznámení o narušení integrity nebo úniku dat musí být oznámeno nejpozději do 72 hod.
  8. GDPR – minimalizace času pro držení dat
    GDPR zavádí velmi přísné požadavky na minimalizaci doby, po kterou jsou os. údaje uchovávány, tzn., že os. údaje nesmí být drženy déle, než je nezbytně nutné.
    Pokud by se změnil účel zpracování dat, je třeba si vyžádat nový souhlas vlastníka dat.
    Z pohledu organizací to znamená, že musí mít k implementovány procesy a technologie, které zajistí anonymizaci, či smazání osobních dat subjektu na jeho žádost nebo po předepsané době.
  9. GDPR rozšiřuje odpovědnost správce údajů osobních dat
    Požadavky se nově vztahují nejen na registrované správce údajů, ale na všechny poskytovatele služeb, kterých se zpracování osobních údajů jakýmkoliv způsobem dotýká.
  10. GDPR – návrh a vývoj informačních systémů
    GDPR požaduje, aby ochrana osobních údajů byla již zohledněna při návrhu a vývoji informačních systémů pro zpracování osobních údajů.
    Například anonymizace a úplné vymazání dat je požadavek, který nebyl dosud příliš zohledňován. V budoucnu bude muset být každý takový IS schopen požadovaná data zcela vymazat.
  11. GDPR zavádí koncept jednotného přístupu
    Princip jednotného přístupu k ochraně osobních údajů v rámci EU bez ohledu na lokální pravidla v dané zemi.
    Realizace bezpečnostních opatření pro splnění podmínek GDPR bude pro firmy poměrně složitá. Vzhledem k výše uvedeným faktům je nejvhodnějším řešením tuto implementaci svěřit profesionálům.
    Náš tým odborníků Vám pomůže nejen se správnou implementací a tím splnění požadavků této nové legislativy, ale pomůže Vám i navrhnout taková bezpečnostní opatření, která co nejefektivněji zajistí splnění souladu s GDPR. Vzhledem k tomu, že GDPR zavádí přísnější sankce za porušení předepsaných pravidel (až 20 milionu eur nebo 4 % celkového celosvětového ročního obratu firmy) není vhodné s implementací GDPR otálet.