Nařízení GDPR (General Data Protection Regulation) výrazným způsobem přepracovává legislativu o ochraně osobních údajů. Reaguje na současnou dobu, ve které se informační systémy a digitální podnikání obecně stávají nedílnou součástí téměř každé firmy. Dobu, v níž řada firem využívá ke komerčním účelům pojem big data nebo, lépe řečeno, sbírá informace, které po sobě zanecháváme v kyberprostoru.

Koneckonců už jste sami určitě zaznamenali zprávy o občasném úniku dat či jejich zneužití. A to nejen ke komerčním účelům (většinou k reklamě, teleshopingu či e-mailovým newsletterům), ale také k tvorbě veřejného mínění či prosazování politických cílů, ba dokonce, ve světle zjištění, k tajnému shromažďování údajů o občanech EU bezpečnostními službami některých států mimo evropský prostor.

Aktuální legislativa, kterou se prozatím zákony na ochranu osobních údajů řídí, je již zastaralá. V době jejího vzniku navíc ještě neexistovaly dnes již rozšířená cloudová centra a další moderní technologie, na které si již řada uživatelů zvykla, aniž by si byla možných bezpečnostních incidentů vědoma.

Bylo tedy naprosto nutné stanovit přísnější pravidla ochrany našich osobních dat a prostřednictvím GDPR zavést změny, které jsou pro tuto oblast zásadní a do značné míry i ambiciózní.

Nařízení je jedním z nejrozsáhlejších právních předpisů, které Evropská unie v posledních letech přijala. Zaváděním koncepcí, jako je právo na zapomenutí, přenositelnost údajů, oznamování o narušení údajů a odpovědnosti za svěřená data obecně, se totiž výrazným způsobem dotkne řady firem, které si tak na nové požadavky na ochranu osobních údajů občanů EU budou muset zvyknout.

Dokonce i skutečnost, že se nejedná o směrnici, ale přímo o nařízení, činí z GDPR neobvyklý právní předpis, který řada specialistů na ochranu údajů analyzuje a formou doprovodných pokynů dotváří. Bez nadsázky lze tedy říci, že se jedná o největší změnu legislativy v oblasti nakládání s osobními údaji za posledních 20 let.

GDPR se bude týkat plošně všech firem, které spravují, shromažďují či zpracovávají osobní údaje občanů Evropské unie. V našem podnikatelském prostředí se tak bude jednat o všechny firmy a jednotlivce, kteří zpracovávají osobní údaje svých zaměstnanců, zákazníků nebo dodavatelů.
 
GPDR se ale uplatní i na ty, kteří sledují a analyzují chování uživatelů na webu prostřednictvím nástrojů, jako je Google Analytics nebo Facebook. Cílem GDPR je totiž chránit digitální práva občanů EU.

Co je tedy GDPR?

Nařízení GDPR nově reguluje zpracování osobních údajů fyzických osob, konkrétně upravuje ty oblasti, kde se dnes řídíme zákonem č. 101/2000 Sb., o ochraně osobních údajů. GDPR zavádí celou řadu nových práv a povinností a také zpřesňuje či zpřísňuje stávající pravidla.
 
Řídit se jím musí všichni správci a zpracovatelé osobních dat (údajů) ze všech odvětví, například z bankovnictví, zdravotnictví, veřejné správy nebo internetových obchodů. Primárně se nové změny dotknou zpracování osobních údajů zákazníků.

Kdy bude GDPR platit?

Nařízení GDPR představuje právně závaznou normu, která vstoupila v platnost v květnu 2016 a musí být plně zavedena do května 2018 v celém svém rozsahu ve všech státech EU.

Co je zapotřebí udělat, aby vaše firma splňovala nároky GDPR?

Správci a zpracovatelé osobních údajů bez ohledu na svoji velikost a počty zaměstnanců musí především zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. To vše bude pro podnikatele představovat časové a finanční investice, které se budou týkat zejména:

• implementace záměrné a nezbytné ochrany dat,
• vedení záznamů o činnostech zpracování,
• v některých případech také zavedení tzv. pseudonymizace osobních údajů, kdy jsou konkrétnímu člověku přiřazeny údaje bez použití dodatečných informací, které jsou  uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům
• a v neposlední řadě konzultace s dozorovým orgánem před samotným zpracováním osobních údajů.

Nebo společnosti, které zase u svých klientů algoritmicky posuzují informace, na jejichž základě vyhodnocují jeho situaci za účelem nabídky služeb, budou muset vypracovat posouzení vlivu na ochranu osobních údajů (tzv. DPIA).
 
Abyste mohli doložit soulad s GDPR, budete tak muset přijmout vnitřní koncepce, provést procesní změny a zavést opatření, která dodržují zejména zásady ochrany osobních údajů.

Ta by měla především spočívat v minimalizaci zpracování osobních údajů, v jejich co nejrychlejší pseudonymizaci, v transparentnosti s ohledem na účely a zpracování osobních údajů a především v umožnění přístupu občanům k jejich údajům.

Obr.: Základní terminologie vyskytující se v nařízení GDPR

A k jakým změnám vlastně dochází?

Pojďme si shrnout základní výčet konkrétních změn, které GPDR přináší:

• rozšíření pojmu osobní údaj; nově je osobním údajem za určitých okolností i e-mailová adresa, IP adresa, cookies apod.,
• nové pojmy a s nimi spojené povinnosti, jako „pseudonymizace“, „profilování“ a „přeshraniční zpracování“,
• právo subjektu údajů být zapomenut, právo na přenositelnost osobních údajů a právo přístupu k těmto údajům,
• povinnost zajistit, dokumentovat a kontrolovat zabezpečení osobních údajů,
• schopnost včas objevit incidenty, analyzovat je, posoudit a informovat o nich,
• povinnosti v oblastech odpovědnosti, řízení rizik a reportingu; například v určitých případech zavést pozici pověřence pro ochranu osobních údajů (DPO) nebo provádět analýzu rizik formou posouzení vlivu na ochranu osobních údajů (DPIA) či vést dokumentaci týkající se záznamů o činnostech zpracování.

Co vše je zapotřebí udělat pro zavedení změn?

Úkoly se pravděpodobně dotknou celé řady pracovníků ve vaší firmě, především těch, kteří se zabývají marketingem, obchodem či provozem IT. V neposlední řadě pak i právníků, risk a compliance managerů a managementu obecně, který zároveň ponese zodpovědnost za splnění všech požadavků GDPR.

Jaké budou pokuty při nedodržení nařízení?

Správní pokuty za nedodržení požadavků jsou nastavené velice přísně. Jsou stanovené dvě kategorie pokut podle typu porušení nařízení, například úmyslné činy spadají do kategorie vyšších pokut.
 
V důsledku se může jednat o astronomickou částku ve výši 4 % ročního obratu nebo pokutu v řádech miliónů eur.

GDPR v programech STORMWARE

I přesto, že většina procesů musí v prvé řadě vycházet z přijmutí vnitřní koncepce, provedení procesních změn a zavedení vlastních opatření, která dodržují zejména zásady záměrné ochrany osobních údajů, mohou být uživatelé programů od společnosti STORMWARE klidnější.
 
Začlení správu osobních údajů svých klientů, zaměstnanců a dodavatelů v souladu s principy GDPR tak, aby vyhovovaly a co nejvíce zjednodušily implementaci procesních změn a opatření.
 
Jelikož jako správce osobních údajů nesete i odpovědnost za dodržování principů zpracování osobních údajů, klade STORMWARE při úpravách svých programů důraz zejména na aspekty jejich správy a administrace. Tedy aby pro vás nebyl problém:

• mít řádně zaznamenaný právní základ pro zpracování údajů,
• doložit, že osobní údaje jsou zpracované korektně a transparentním způsobem a v případě potřeby i snadno aktualizovatelné,
• možnost zaznamenat účel a rozsah zpracování údajů včetně jejich omezení,
• uložit údaje ve formě umožňující identifikaci subjektu údaje po delší dobu,
• subjektům údajů přístup ke svým údajům, jejich vymazání, opravu a přenositelnost,
• zpracovat údaje způsobem, který zajistí náležité zabezpečení, neustálou důvěrnost, integritu a dostupnost osobních údajů.

Obr.: GDPR v programu POHODA

Čím začít?

Každá organizace, která nějakým způsobem zpracovává jakékoliv osobní údaje, by měla provést analýzu stavu, souladu a nedostatků a zahájit projekt pro naplnění změnových požadavků. Splnění všech požadavků nebude jednoduché, doporučujeme začít co nejdříve.
 
Následující kroky by vám měly pomoci při přípravě na obecné nařízení o ochraně osobních údajů (GDPR), tak jak jej doporučuje britská ICO – Preparing for the General Data Protection Regulation 12 steps to take now.

1. Obecné povědomí

Ujistěte se, že rozhodovací orgány a kompetentní zaměstnanci ve vaší organizaci si uvědomují, že správa osobních údajů se nově podřizuje GDPR. Je nutné uvědomit si dopad, jaký to pravděpodobně bude mít na vaši společnost.

2. Co všechno víte

Zdokumentujte, jaké osobní údaje nyní zpracováváte, odkud pochází a s kým je sdílíte.

3. Sdělování informací o soukromí  

Shrňte si aktuální situaci, jakým způsobem nakládáte s osobními údaji, a stanovte si plán pro provedení všech potřebných opatření v souladu s implementací GDPR.

4. Práva subjektu údajů

Zkontrolujte své stávající postupy a ujistěte se, že pokryjí všechna nová práva subjektů údajů, včetně toho, jakým způsobem je vymažete nebo je oprávněně elektronicky poskytnete.

5. Požadavky na přístup

Zaktualizujte své postupy a naplánujte, jak budete zpracovávat požadavky v rámci nových lhůt a jak budete poskytovat další informace.

6. Právní základ pro zpracování osobních údajů

Roztřiďte údaje, které zpracováváte. Identifikujete právní základ, na jehož základě data zpracováváte, a zdokumentujte to.

7. Ověřte souhlas

Přezkoumejte, jakým způsobem získáváte souhlas se zpracováním osobních údajů a zda jej potřebujete, či nikoliv (k řadě údajů nepotřebujete mít souhlas ke zpracování, například plnění ze smlouvy apod.).

8. Děti

Zpracováváte-li osobní údaje dětí, myslete také na systémy, které ověří jejich věk a zaznamenají i souhlas jejich rodičů.

9. Únik dat

Ujistěte se, že víte, jak postupovat v případě detekování, reportování a vyšetření úniku osobních dat.

10. Posouzení vlivu na ochranu osobních údajů

Pokud provádíte systematické a rozsáhlé vyhodnocování osobních údajů, které je založeno na automatizovaném zpracování, včetně profilování, zpracujte Posouzení vlivu na ochranu osobních údajů (tzv. DPIA).

11. Zmocněnec pro ochranu údajů

Zjistěte, zda se na Vás vztahuje povinnost ustanovit pověřence pro ochranu dat (DPO), nebo stačí mít osobu zodpovědnou za osobní údaje a nakládání s nimi.

12. Mezinárodní dopad

Pokud působíte na mezinárodní úrovni, měli byste znát i autoritu pro dohled nad ochranou údajů zemí, kde také podnikáte.