Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation čili GDPR) vstoupí v platnost už během následujícího května. Občanům EU má přinést lepší kontrolu nad daty, která o nich různé společnosti shromažďují. Firmy ho však vidí spíše negativně. Mají z něj totiž strach. Pokuty, které EU vyhlásila za nedodržování nových předpisů, jsou poměrně přísné.
Za porušování či nedodržování GDPR nařízení hrozí firmám vysoké sankce. Maximální výše pokuty může dosáhnout až 20 000 000 EUR či 4 % ročního obratu. Samozřejmě bude záležet na tom, jak dlouho je daný předpis porušován, zda je porušení příliš závažné, kolik občanů bylo poškozených atd. Pokutu mohou dostat malé i velké korporace, navíc po nich může být vyžadována náhrada škody za hmotnou nebo nehmotnou újmu občany z celé EU. Je tedy pochopitelné, že by taková situace spoustu firem zlikvidovala. Nepanikařte ale, nic není tak horké, jak se o tom píše v bulváru. Přistoupíte-li ke GDPR nařízení zodpovědně, je smutný konec velmi nepravděpodobný.
Co vlastně musí firmy dělat jinak?
Společnosti budou muset implementovat ochranu dat, vypracovat tzv. Data Protection Impact Assessment (posouzení vlivu na ochranu osobních údajů), některé jmenovat Data Protection Officer (pověřence pro ochranu osobních údajů), vést záznamy o zpracování osobních dat a konzultovat rizikové záležitosti s dozorovým orgánem. Pokud se podíváme na konkrétní příklady, bude nezbytné vlastníky údajů informovat o tom, co s jejich daty provádíte. Ti budou mít kdykoliv možnost požádat o odstranění svých informací, jestliže už je nadále k ničemu nepotřebujete. Nově bude rovněž nezbytné nahlásit jakýkoliv únik citlivých informací, abychom se o něm nedozvídali až o několik let později, jako tomu bylo v loňské kauze Yahoo.
Možná by bylo dobré také vyjasnit, že za osobní údaje GDPR považuje jméno, příjmení, pohlaví, věk, datum narození, fotografický záznam, nákupy, osobní stav, IP adresu, e-mail, telefonní číslo, genetické, biometrické údaje, náboženské a politické názory, zdravotní stav, sexuální orientaci, trestní delikty.
A k čemu to všechno je?
Uvědomte si, že i ředitel firmy se běžně dostává do opačné situace. Také o něm některé společnosti uchovávají citlivé údaje. Práv občanů přináší GDPR nařízení hodně. Musí mít přístup ke všem o nich uchovávaných údajům a být informováni o tom, za jakým účelem se tato data zpracovávají. Pokud nejsou údaje potřeba, zpracovatel je musí vymazat. Pro výmaz existuje ještě několik dalších důvodů. Každý bude mít také právo být zapomenut.
Nové zařízení přišlo zejména z důvodu, že stará legislativa ohledně ochrany osobních údajů platí již od roku 1995. Tehdy neexistovalo nic jako cloudová úložiště, sociální sítě a další technologie dnešní doby. Avšak ani GDPR nařízení nepokryje plně všechny moderní problémy. Nepočítá výslovně například s IoT (Internetem věcí) nebo BYOD (Bring Your Own Device – zaměstnanci si nosí do práce vlastní zařízení).
Jak se vypořádat s přísnými nařízeními?
Jestliže jste ze všeho zmatení a nevíte přesně, jak se na GDPR připravit, můžeme vás uklidnit. Nejste jediní, přesně takhle se cítí většina firem. Nabízí se spousta různých řešení, včetně GDPR certifikace. Můžete si načíst informace online, vydat se na nějaký kurz, jichž se po celé ČR koná spousta, nebo si rovnou vyžádat GDPR audit. To je nezávislá prověrka, která zhodnotí vaši připravenost, pomůže doladit procesy, systémy i dokumentaci a nakonec vás ocení certifikátem, jenž udělá dojem na klienty a partnery. Hlavně vše začněte řešit s dostatečným předstihem, protože čas běží.
A na závěr pro vás máme ještě jednu pozitivní zprávu. GDPR nařízení se nevztahuje v plném znění úplně na všechny firmy zpracovávající osobní údaje. Záleží také na velikosti a tom, čím se zabýváte. Informujte se včas, co je vaší povinností.
