Reforma v ochraně osobních dat už za rok a půl

Eva Škorničková, 07. November 2016 15:17 0 komentářů
Reforma v ochraně osobních dat už za rok a půl

Za méně jak rok a půl vstoupí v platnost Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation – GDPR). Jedná se o aktuálně nejkomplexnější soubor pravidel na ochranu dat a týká se každého subjektu, který shromažďuje nebo zpracovává osobní údaje občanů EU, bez ohledu na jeho geografickou lokalitu. Ve zkratce: Nařízení se i v Česku dotkne prakticky všech firem, nebo jednotlivců, kteří zpracovávají osobní údaje zaměstnanců, zákazníků, klientů či dodavatelů.

Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit metodiku zpracovávání osobních údajů. V případě porušení nařízení budou firmám hrozit vysoké pokuty, které pro ně mohou být až likvidační.

Současná legislativa EU z roku 1995, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například sociální sítě či cloudová úložiště. GDPR začne být v celé EU účinné od května 2018. Protože byla nová pravidla přijata formou „nařízení“, budou platit ve všech státech EU jednotně a konzistentně. Nařízení s sebou přinese rovnocennou vymahatelnost práva, stejné sankce a mnohem intenzivnější spolupráci dozorových orgánů. Pokuty mohou být pro české firmy až likvidační – dosahují i 20 milionům eur, případně až čtyř procent celosvětového obratu.

Nařízení GDPR přináší řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu tím velká administrativní zátěž, bude například povinen dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

S GDPR dochází také k rozšíření pojmu „osobní údaj“, který bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie. Nově je zavedena klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim. Rozsáhlé změny nastanou také v oblasti pojetí souhlasu ke zpracování osobních údajů. Naprostou novinkou pak bude tzv. právo být zapomenut, kdy může každý požadovat, aby byly bez zbytečného odkladu vymazány jeho osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.

Podniky budou mít rovněž oznamovací povinnost v případě porušení zabezpečení osobních údajů, kdy budou muset takovou skutečnost ohlásit Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od zjištění incidentu.

Čas do května 2018 je jakýmsi přechodným obdobím, během něhož musí u všech, kterých se nařízení týká, dojít k zásadní revizi interních systémů a způsobu nakládání s osobními údaji. Prvním krokem by měla být důkladná analýza aktuálního stavu, která se bude skládat z několika dílčích fází. Ty odhalí, proč a jaká data zpracováváme a zda je opravdu potřebujeme. Dále je zapotřebí odkrýt, podle jakých pravidel a jak s daty nakládáme, kam je ukládáme, zda o tom subjekty dostatečně informujeme.

Podniky tak budou muset podrobit pečlivé kontrole vlastní informační a jiné systémy, typicky například ERP systémy, aby v nich odhalily z hlediska ochrany dat slabá místa. Zároveň musejí společnosti proškolit i vlastní zaměstnance, aby s osobními daty nakládali v souladu s novým nařízením.

Autorka je právní konzultantka pro IT bezpečnost a ochranu osobních údajů.


Komentáře