10 klíčových faktů, které byste měli určitě znát o GDPR

General-Data-Protection-Regulation1

Za méně než dva roky začnou v EU platit nová pravidla o ochraně osobních dat. Na co by se měly firmy a organizace již nyní soustředit? Nová regulace EU, týkající se ochrany osobních je poměrně složitá. Přinášíme proto 10 klíčových zásad, které by si firmy a organizace měly osvojit, aby pravidlům GDPR vyhověly.

General Data Protection Regulation (GDPR) začne platit nejpozději od 25. května 2018. Pro české firmy a organizace je tedy na čase, aby se začaly na jednotlivé požadavky připravovat.

  1. GDPR platí pro všechny firmy

GDPR platí pro všechny firmy a organizace na celém světě, které zpracují data občanů EU. Je to v podstatě první případ, kdy evropská unie prosazuje principy ochrany osobních údajů svých občanů ve zbytku světa.

V praxi to znamená, že každá firma či organizace i mimo EU, která pracuje s daty, které nějakým způsobem souvisejí s občany EU, musí dodržet zásady a požadavky regulace GDPR, která má globální působnost. Zpracovatelé dat by tedy měli zpozornět. Data občanů EU získávají globální ochranu.

  1. GDPR rozšiřuje definici významu osobních dat

Definice významu ochrany osobních dat byla vždy poměrně široká. Nicméně nová regulace jde ještě dále tím, že rozšiřuje oblast, co pod osobní data patří.
Zejména ty části firemních IT, které nebyly v minulosti při ochraně dat  zohledněny, by si měly zajistit, aby novým požadavkům vyhověly. GDPR totiž nově zahrnuje jakákoliv data, která vedou k identifikování osobních dat jednotlivců. To nyní zahrnuje informace týkající se například genetiky, duševního zdraví, kulturní, ekonomické a sociální situace.
Dle názoru odborníku by dnes málokterá společnost vyhověla přísným nárokům nového zákona, a proto cesta k jejich dosažení bude pro firmy a organizace poměrně složitá.

  1. GDPR zpřísňuje pravidla pro získání platného souhlasu s použitím osobních údajů

Firmy a organizace budou muset být schopny ukázat platný souhlas k použití osobních informací.

Organizace potřebují zajistit, aby vůči klientům v žádosti o souhlas používaly jednoduchý a srozumitelný jazyk. Aby bylo jasné, jak a k čemu vlastně chtějí informace využívat. Klienti naopak musí pochopit, že nečinnost a mlčení již nepředstavuje souhlas s využitím jejich osobních údajů.

GDPR dále vyžaduje, aby firmy a organizace shromažďující osobní údaje mohly  prokázat jasný a potvrzující souhlas pro zpracování těchto dat. Nicméně většinu současných mechanismů pro získání souhlasu nebude možné pod GDPR využít.

V budoucnu bude tedy pro firmy a organizace ještě důležitější než kdy jindy, aby přesně vysvětlily, jaké osobní údaje sbírají, jak je budou zpracovávat a využívat. Bez platných souhlasů pak budou všechny činnosti spojené se zpracováním osobních údajů ze strany úřadů zablokovány.

  1. GDPR požaduje jmenování inspektora ochrany údajů (DPO – Data Protection Officer)

GDPR vyžaduje, aby orgány státní správy, které zpracovávají osobní informace, jmenovali inspektora pro ochranu osobních údajů (DPO – Data Protection Officer). Rovněž takto profilovanou pozici budou muset rovněž obsadit podniky či organizace, k jejichž základní činnosti patří pravidelné a systematické monitorování a zpracování velkých objemů osobních dat nebo pracují s dalšími speciálními údaji, které prvky osobních dat vykazují.

Podle odhadů profesních organizací tak bude Evropa v nejbližších dvou letech potřebovat okolo 28 tisíc odborníků k obsazení pozic DPO.  To pocítí zejména v Německu, kde tuto pozici budou muset zřídit firmy s více jak 10 zaměstnanci. Přitom tyto poměrně malé firmy, které mají často ještě menší počet zaměstnanců, zpracovávají osobní data desetitisíců lidí. Riziko je tedy vyšší, než ve větší firmě.

Principem GDPR mimo jiné je, že neposuzuje, jak je firma velká, ale jak zachází s osobními daty. Proto tedy každá firma či organizace bude muset pozici DPO zřídit. Ta pak bude zajišťovat, že firemní procesy, aktivity a systémy související se zpracováním dat budou v souladu se zákonem.

  1. GDPR zavádí povinné PIA – Privacy Impact Assessment

GDPR zavádí povinné posouzení dopadů na soukromí klientů, tzv. PIA – privacy impact assessment. Tento nástroj je určen pro identifikaci a vyhodnocení rizik o ochraně osobních údajů v celém životním cyklu vývoje softwaru nebo systému.

GDPR požaduje, aby PIA provedly správci údajů tam, kde je riziko narušení soukromí vysoké a je tedy potřeba rizika pro privátní subjekty údajů minimalizovat. Pak to bude znamenat, že firmy a organizace, které připravují projekty zahrnující práci s osobními daty, budou muset prostřednictvím svých DPO provést posouzení rizik narušení soukromí. Tím se ještě před zahájením prací zjistit, zda připravované projekty jsou v souladu s požadavky GDPR.

  1. GDPR zavádí podmínku oznámení úniků dat pro všechny

Napříč Evropou GDPR harmonizuje různá zákonná pravidla pro hlášení narušení či únik dat. Rovněž se zaměřuje na to, aby také organizace narušení dat a následný únik osobních údajů nepřetržitě monitorovaly.

Nařízení vyžaduje, aby postižená firma či organizace informovala úřad pro ochranu osobních údajů o úniku nejdéle 72 hodin po zjištění. Dále musí firmy a organizace zajistit procesy a technologie, které jim umožní únik odhalit,  zareagovat a zajistit nápravu.

Pro firmy to bude znamenat, aby si zajistily trénink managerů a  zaměstnanců.  Rovněž to bude vyžadovat provedení změn v interních zásadách zabezpečení dat a zajistit jejich zavedení do firemní praxe.  Účelem je zajistit rychlé odhalení úniku dat, rozpoznání příčin a následnou nápravu.

  1. GDPR zavádí právo být zapomenut

GDPR zavádí velmi restriktivní, vymahatelné principy zpracování dat. Jedním z nich je princip minimalizace údajů, který vyžaduje, aby organizace nedržela údaje déle, než je nezbytně nutné. Zároveň nesmí měnit způsob využití dat z účelu, pro který byly původně shromážděny. Pokud by organizace takovou změnu chtěla udělat, musí si před tímto úkonem vyžádat od majitele dat nový souhlas.

Z pohledu firmy a organizace to znamená, že musí mít k dispozici procesy a technologie, které zajistí smazání osobních dat subjektu jako reakci na jeho žádost.

  1. GDPR rozšiřuje odpovědnost správce údajů osobních dat

Zodpovědnost za zpracování údajů ležela doposud na registrovaných správcích údajů. GDPR teď tuto odpovědnost rozšiřuje na všechny organizace, kterých se  zpracování osobních údajů jakýmkoliv způsobem dotýká.

GDPR tedy nově pokrývá jakékoliv další firmy a organizace, která správci údajů poskytují další služby zpracování údajů.  Znamená to tedy, že i firmy, které jsou čistě poskytovatelé služeb zpracování dat a pracují s osobními daty, budou muset jednat v souladu s pravidly, jako je například minimalizace údajů čili právo být zapomenut.

  1. GDPR vyžaduje ochranu soukromí již v návrhu systému

GDPR požaduje, aby ochrana osobních údajů byla zahrnuta již v počátečních fázích návrhů informačních systémů pro zpracování osobních údajů. To znamená, že software, systémy a procesy, které vznikají, musí vyhovovat principům ochrany soukromí.

Například účinné vymazání informací je něco, s čím se při vývoji dnešního softwaru často nepočítá. V budoucnu ale veškerý software bude muset být schopen požadovaná data zcela vymazat.

  1. GDPR zavádí koncept jednotného přístupu

Díky vyšší toleranci v ochraně osobních údajů bylo zejména Irsko oblíbené u velkých amerických korporací, jako je Google nebo Microsoft.

Takováto zvýhodnění ale zmizí s nástupem platnosti GDPR. Pak v každé zemi EU může úřad pro ochranu osobních údajů přijmout nápravná opatření proti společnostem, bez ohledu na to, kde mají sídlo. Tato opatření mohou být také významně podpořeny pokutami až do výše 20 miliónů € nebo 4% z ročního celosvětového obratu. Díky tomu se firmy budou vypořádávat pouze s jedním dohledovým orgánem místo s lokálním regulátorem účinným pro každou zemi.

Předkladatelé zákona vidí zjednodušení a zlevnění agendy a komunikace jednak pro firmy ale zároveň pro občany EU. Ti budou moci svou stížnost a podnět předkládat na jakémkoliv úřadu pro ochranu údajů dle vlastního výběru.

Petr Moláček, petr.molacek@principal.cz, Daniel Konečný, daniel.konecny@principal.cz