O nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů či zkráceně obecném nařízení o ochraně osobních údajů (angl. zkratka GDPR – General Data Protection Regulation) jste již zřejmě slyšeli, ale možná stále ještě nemáte úplně jasnou představu, jaký konkrétní dopad bude mít na vaše podnikání. Obecně řečeno, cílem tohoto zákona je zvýšení ochrany osobních údajů Evropanů a nastavení jednotných pravidel ve fyzickém i digitálním světě. Současně umožní i volný pohyb těchto údajů v rámci zemí EU.
Koho se GDPR týká?
GDPR nařízení se dotkne všech subjektů, které v rámci své činnosti pracují s osobními údaji občanů členských zemí EU. Některé pasáže se vztahují pouze na organizace s více než 250 zaměstnanci – za předpokladu, že zpracování citlivých údajů nepatří k jejich hlavním činnostem.
Pojmem „zákonem chráněné osobní údaje“ se rozumí libovolné neveřejné údaje, které lze přiřadit konkrétním lidem prostřednictvím jména, bydliště, data narození nebo rodného čísla, čísla dokladů (OP, ŘP, pas) a elektronických údajů, jako jsou IP adresa, cookies a informace o lokalizaci uživatele.
Obecné nařízení o ochraně osobních údajů se týká také automatizovaného zpracování informací a vyjmenovává zvláště citlivé osobní údaje, které není možné uchovávat bez speciálního zmocnění, přesně definovaného zákonem. Podle směrnice GDPR jsou také nastavena zvláštní kritéria pro vytváření profilů občanů EU, které je ručně či automaticky hodnotí či klasifikují.
Jaké jsou povinnosti firmy dle GDPR?
Prvním krokem je zjistit, které paragrafy se vztahují na činnost vaší firmy a případně upravit zpracování údajů tak, abyste některým požadavkům vyhnuli. Dojdete-li k závěru, že se musíte řídit všemi částmi nařízení, nezbude vám, než jmenovat specialistu (DPO), zavést kodex a zajistit, aby byly nové dokumenty a procesy aplikovány v praxi.
Přestože povinnosti nelze delegovat na dodavatele služeb, můžete nutné změny pojmout jako ideální příležitosti pro zvýšení bezpečnosti informačních systémů, zautomatizování některých procesů a celkové zefektivnění fungování firmy.
GDPR a informační systémy
GDPR se netýká pouze ochrany osobních údajů. Subjekty (jednotlivý fyzické osoby) musí dle zákona vědět, kde jsou informace obsaženy a mít možnost s nimi pracovat. Konkrétně firmy musí být schopny zobrazit kompletní přehled všech údajů, zpracovat žádost o jejich opravu či výmaz, zpřístupnit je pro přenos (a přenosy logovat), na žádost je v systému blokovat a přiřadit k nim příznak omezení. Mimo to také vytvořit či zpětně doložit, kdy bylo zpracování osobních údajů odsouhlaseno, data uložena, jakým způsobem probíhala jejich ochrana a jak byla zlikvidována.
Nejste na to sami
Máte pocit, že se v problematice GDPR ztrácíte a netušíte, kde začít? V žádném případě nový zákon nepodceňujte, protože za nedodržení hrozí skutečně vysoký postih. Můžete se však obrátit na někoho, kdo vám poskytne odbornou konzultaci, provede datový audit, audit kodexu ochrany osobních údajů, připraví vnitřní směrnice nebo realizuje kompletní GDPR audit.
S veškerými problémy souvisejícími s nařízením GDPR vám pomohou odborníci z Asociace za lepší ICT řešení. V rámci neziskové organizace působí specialisté, kteří sdílí své zkušenosti s firmami a institucemi – společně se snaží o nalezení optimálního řešení.
Je tu on-line GDPR audit zdarma
Chcete-li se dozvědět, jak se na vaši firmu vztahují povinnosti související s evropskou GDPR směrnicí, využijte možnost bezplatného on-line auditu, který najdete na webových stránkách www.lepsi-reseni.cz. GDPR audit vám objasní vše, co byste měli ohledně ochrany osobních údajů vědět, a případně i možnosti, jak se některým povinnostem vyhnout. Stačí, když vyplníte formulář – výslednou zprávu obdržíte e-mailem.
Zmíněný on-line GDPR audit je zdarma, ovšem můžete zvolit i druhou variantu – podrobnější rozbor s osobní účastí certifikovaného konzultanta a konkrétní návody na řešení ve vaší firmě. Dostanete detailní odpovědi a seznam kroků, které musíte učinit, abyste vyhověli všem zákonným požadavkům. Zároveň obdržíte doporučený kodex ochrany osobních údajů vhodný pro vaše podnikání a plán projektu implementace. Po dobu jednoho roku bude dostávat aktualizovaná doporučení dle případných změn legislativy či doporučení regulátora. Další výhodou GDPR auditu je výrazně rychlejší a levnější případná certifikace.
Kde je potřeba GDPR certifikace?
Asociace za lepší ICT řešení nabízí ve spolupráci s certifikačními autoritami více variant podpory pro dosažení shody s nařízením o ochraně osobních údajů. Jednou z nich je i certifikační proces – nezávislá prověrka pod vedením konzultanta, auditora, právníka a architekta. Jedná se o vynikající způsob, jak procesy a dokumentaci doladit. GDPR certifikace se současně pozitivně projeví na image firmy před klienty a partnery. Získají větší důvěru a jistotu bezpečné spolupráce. Oficiální GDPR certifikaci budou nutně potřebovat dodavatelé služeb, kteří zpracovávají osobní údaje pro státní správu, velké instituce, zdravotnictví, banky či pojišťovny nebo ve velkém pracují s citlivými údaji.
