V dubnu loňského roku schválil Evropský parlament Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation – odtud zkratka GDPR), které je nejobsáhlejším souborem pravidel na ochranu dat na celém světě. V platnost vejde už od 25. května a nahradí u nás zákon č. 101/2000 Sb. o ochraně osobních údajů. Je tedy na čase začít řešit, co a jak bude, jestli se nařízení týká také vás.
GDPR se dotkne každého subjektu, který zpracovává či shromažďuje osobní údaje obyvatel EU, nehledě na to, zda sám v EU sídlí, či nikoliv. V praxi to tedy znamená, že se jím musí zabývat každá firma, bankovní instituce, e-shop a všichni podnikatelé, kteří zpracovávají údaje zákazníků, zaměstnanců, dodavatelů apod. Výjimkou jsou organizace s méně než 250 zaměstnanci, na ty se části GDPR nařízení nevztahují. Za osobní údaje jsou přitom považována jména, bydliště, rodná čísla, data narození, čísla dokladů, elektronické údaje (cookie, IP adresa atd.).
Co musí firmy podle GDPR dělat?
Nejdříve si pořádně nastudovat, co jim GDPR ukládá za povinnosti. Jestliže se musí tomuto nařízení podřídit v plném rozsahu, nezbývá než zavést patřičný kodex, procesy a systémy. Firmy musí šifrovat či anonymizovat citlivá data, pracovat s údaji jako s celkem. Měly by být schopné zobrazit uživateli osobní údaje, které o něm uchovávají, na požádání je upravit nebo smazat.
Nařízení GDPR lze pojmout i jako příležitost konečně zmodernizovat firemní informační systém, zvýšit bezpečnost a celkově vylepšit procesy práce s informacemi.
Jak zjistit, zda se na vás GDPR vztahuje a co musíte udělat?
Nejlepší je obrátit se na odborníky. Po celé ČR postupně probíhají různé konference na toto téma, navíc je možné obrátit se na dodavatele ICT, kteří se zavedením GDPR pomohou. Jejich přehled najdete na webu Asociace za lepší ICT řešení. Zde si jde objednat také audit GDPR, ten vám prozradí, zda se na vaši organizaci vztahují požadavky evropské směrnice.
V každém případě je dobré nenechávat vše na odbornících, něco si musíte nastudovat rovněž sami, abyste vůbec věděli, o čem je řeč. Asociace za lepší ICT řešení proto připravila i GDPR česky – v češtině najdete kompletní znění GDPR a také odpovědi na základní otázky.
V jakých situacích GDPR neplatí?
Nevztahuje se na případy, kdy fyzická osoba zpracuje data pro osobní či domácí činnosti. Předpisy se nemusí řídit ani státní orgány, které využívají osobní údaje za účelem vyšetřování, odhalování, stihání trestných činů nebo prevence.
Jinak je ale zanedbávání ochrany osobních údajů trestným činem. Musíte se zásadami GDPR řídit nebo se o to aspoň ze všech sil snažit a být schopní tuto snahu nějak dokázat (nejlépe GDPR auditem). Trestní odpovědnost přitom platí jak na právnickou osobu, tak osobně na členy jejího vedení.
