Zajímavosti

Jak se připravit na GDPR?

Napsal(a)  Zveřejněno v Zajímavosti

Obecné nařízení o ochraně údajů (GDPR) nabude účinnosti za půl roku, konkrétně 25. 5. 2018, ale podle analytiků ze společnosti Gartner ještě na konci roku 2018 nebude celá polovina příslušných organizací splňovat veškeré z něj vyplývající povinnosti.

Nařízení přináší povinnost správců a zpracovatelů těchto údajů bez ohledu na velikost organizace nebo počet zaměstnanců zavést technická, organizační a procesní opatření, Ta mají zajistit adekvátní zabezpečení odpovídající výši rizika úniku a zneužití osobních údajů, Opatření pro menší firmu zpracovávající desítky až stovky údajů jsou tedy výrazně menší než pro správce desítek tisíc záznamů. Míru rizika a citlivosti osobních údajů přitom vyhodnocuje sám správce.

Nařízení dále zavádí právo osob na přenositelnost nebo výmaz údajů a přístup k nim v případě fyzických i technických incidentů. Právo na přenositelnost vyžaduje, aby správce na vyzvání subjektu poskytl jeho data ve strukturované podobě (prakticky to např. může znamenat snadnou přenositelnost dat mezi e-shopy nebo sociálními sítěmi).

Povinností správce je také oznámit neoprávněný přístup k datům – tedy jejich možný únik ve větším rozsahu – kontrolnímu orgánu do 72 hodin od zjištění. V případě, že porušení zabezpečení může ohrozit práva osoby subjektu údajů, existuje povinnosti ji informovat také. Podle GDPR platí presumpce viny správce dat – pokud si na vás bude subjekt stěžovat u kontrolního orgánu a vy nedokážete prokázat opak, automaticky jste vinni.

Za neplnění požadavků hrozí pokuty ve výši až 20 milionů eur nebo 4% z celosvětového ročního obratu organizace. Regulátorem, který bude na dodržování dohlížet a přijímat stížnosti, je Úřad pro ochranu osobních údajů (ÚOOÚ), se kterým lze také problematiku konzultovat.

Pro organizace, které nakládají s osobními údaji fyzických osob, to znamená vypracování posouzení vlivu na ochranu osobních údajů, případné jmenování pověřence pro ochranu OÚ (data protection officer) a další aktivity typu pseudonymizace či šifrování údajů, logování všech činností s nimi souvisejících, viz dále.

ilustracni foto

Co je zpracování osobních údajů

Osobní údaj podle GDPR je jakákoliv informace o fyzické osobě, která dovoluje její přímou či nepřímou identifikaci. Kromě tradičního jména a kontaktů to tak mohou být i lokační údaje, IP adresa nebo fyzické či fyziologické údaje. Pod nepřímou identifikací si můžete představit například odděleně vedenou knihu jízd se jménem zaměstnance půjčujícího si auto a GPS lokátor v daném vozidle – spojením lokačních údajů z navigace s evidencí jízd se z nich stávají osobní údaje.

Navíc vznikla speciální úprava pro „citlivé“ údaje typu rasového, národnostního či etnického původu, politických názorů nebo náboženského vyznání, které vyžadují vyšší úroveň zabezpečení. Citlivé jsou samozřejmě informace o zdravotním stavu, genetické a biometrické údaje atp.

Za zpracování údajů se podle GDPR považuje i to, že je pouze ukládáte na server a dále s nimi nepracujete.

Osoby musíte také informovat, jak a kdo bude s daty nakládat nebo jak může zažádat o jejich přenesení či výmaz. Z toho vyplývá, že dříve udělené souhlasy je potřeba aktualizovat podle požadavků GDPR.

Pokud uplyne doba pro uchování údajů, osoba souhlas odvolá nebo není nutné mít údaje pro zpracování, je třeba je vymazat a zaslat o tom osobně potvrzení. Právo na výmaz není absolutní, což znamená, že vaší povinností je zajistit, aby data nebyla znovu použita k účelu, ke kterému již neexistuje souhlas, respektive právní titul. Fyzicky často není možné kvůli zálohám či zákonné archivaci zajistit úplný výmaz, měli byste se však postarat, aby při obnově záloh nedošlo k oživení i „smazaných“ dat.

GDPR bude prakticky všudypřítomné, bude prostupovat celou organizací a dotkne se všech klíčových podnikových systémů. Nařízení se navíc nevztahuje pouze na digitální data a systémy, ale i na informace v listinné podobě, kartotéky a další „papíry“.

Výjimky existují

Nařízení má určité výjimky, Jde např. o údaje nezbytné pro určení, nutné pro výkon či obhajobu právních sporů nebo nezbytné pro plnění právních povinností či splnění úkolu ve veřejném zájmu. Výjimku pro zpracování dat bez souhlasu má např. plnění smlouvy nebo jednání o jejím uzavření či ochrana vlastních oprávněných zájmů.

Hlavní zásady ochrany osobních údajů v kostce:

  • Zpracovány zákonným, transparentním a korektním způsobem
  • Shromažďovány pro určité, výslovně vyjádřené a legitimní účely
  • V přiměřeném, relevantním a omezeném rozsahu pro daný účel
  • Přesné a aktualizované
  • Uchovávány pouze ve formě umožňující identifikaci subjektů údajů
  • Uchovávány pouze po dobu nezbytnou pro účely zpracování
  • Zpracovány způsobem, který zajistí dostatečné zabezpečení
  • Chráněné vhodnými technickými nebo organizačními opatřeními (před neoprávněným či protiprávním zpracováním, před ztrátou, poškozením či zničením)
  • Za dodržení odpovídá správce a musí být schopný doložit soulad
  • Zdroj: Lenka Suchánková - advokátní kancelář Pierstone

Koho se GDPR týká

Z výše uvedeného vyplývá, že nové nařízení se dotýká ve větší či menší míře v podstatě všech organizací – vždy budete vy nebo vaši klienti ukládat minimálně údaje o svých zaměstnancích a kontakty na zákazníky bez ohledu na to, zda jsou firemní.

Na koho GDPR dopadá nejvíce? Na organizace, které mají data velkého množství fyzických osob nebo pracují s jejich citlivými údaji – typicky bankovnictví, pojišťovnictví, retail a internetové obchody, výroba a služby, zdravotnictví nebo veřejná správa, pošta a právní kanceláře.

Nařízení pracuje se třemi základními typy subjektů: subjekt údajů (FO, jejíž data zpracováváte), správce (organizace pracující s daty), zpracovatel (FO nebo PO, která data zpracovává pro správce – např. cloudový provider, poskytovatel SaaS, ale i externí účetní a mzdová kancelář).

Zajistit shodu s GDPR v malé až střední firmě je tak sice za 4-6 měsíců možné, avšak řízení IT musí být na dobré úrovni, musí mít vnitřní procesy zohledňující zákon č. 101 a znát všechny aplikace, dokumenty a procesy, což se často neděje. Navíc organizace běžně nemají pravidla pro práci s výpočetní technikou, zaměstnanci nejsou školeni v oblasti bezpečné práce s IT a není definovaný životní cyklus zaměstnanců.

Technická stránka příprav

Z uvedené problematiky by mělo být zřejmé, že žádný IT výrobce nedokáže zcela vyřešit komplet agendu GDPR v organizaci od A do Z. Vendoři bezpečnostních řešen by vám měli být schopni vysvětlit, kde konkrétně je jejich místo.

Při analýze zabezpečení organizace se doporučují tyto kroky:

  • Definovat, co je nutné zabezpečit, jak, proč a proti čemu
  • Nastavit segmenty sítě a jejich zabezpečení
  • Rozhodnout, zda bude možné využít současnou platformu, nebo je nutné nasadit novou
  • Definovat datové toky
  • Zajistit spolupráci jednotlivých systémů mezi sebou při zajištění výkonu, stability, kompatibility při akceptovatelných nákladech
  • Monitorovat a automaticky vyhodnocovat bezpečnostní incidenty

Do příštího května 2018 tedy není nutné mít hotová všechna opatření, ale je důležité znát všechna zpracovaná data a nastartovat uvedené procesy. Než vyčkávat a odkládat přípravy s tím, že nechápete některé výklady práva, je určitě lepší v případě incidentu pak prokázat, že jste se snažili připravit. To vše jsou polehčující okolnosti.

Pět kroků při přípravě na GDPR podle Gartneru:

1. Jmenování DPO

GDPR zavede pro řadu organizací povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – data protection officer), který bude dohlížet na soulad s novými pravidly (dodržování směrnic, audity, školení). To platí zejména pro veřejné instituce nebo organizace, jež dělají „rozsáhlé zpracovávání“ osobních údajů (typicky velké nemocnice, finanční instituce, poskytovatelé cílené reklamy, pozn. red.)

2. Transparentnost a dohledatelnost

Jednou z největších výzev bude zmapovat veškeré kroky spojené se zpracováváním osobních údajů. Organizace potřebují nastavit transparentní procesy a také zajistit snadnou dohledatelnost souhlasu subjektu údajů se zpracováním. GDPR vyžaduje poměrně přísnou evidenci spojenou s nutností získat jasný a výslovný (a nevynucený) souhlas subjektu.

3. Kontrola přeshraničního přesunu dat

GDPR umožní volně přesouvat osobní údaje v rámci členských států EU a několika dalších zemí. V případě, ž data překročí hranice této zóny, je zapotřebí zajistit jejich ochranu pomoc smluv a závazných pravidel.

4. Revize zpracovatelů

Evropské organizace by měly věnovat zvláštní pozornost výběru externích zpracovatelů a zajistit, aby byla zavedena příslušná ochranná opatření. Společnosti sídlící mimo EU by pak měly věnovat stejnou pozornost tomu, zda nakládají s údaji občanů EU.

5. Příprava na využit práv

Organizace se musejí připravit na to, že GDPR dá subjektům údajů poměrně široká práva, a je třeba očekávat, že je začnou využívat. Subjekt získá například právo „být zapomenut“ nebo být informován o případném úniku dat.

Zdroj: Gartner

Původní článek vyšel v časopise ChannelWorld č. 5, listopad 2017, autoři: Jan Mazal a Matěj Čuchna - článek byl redakčně upraven a zkácen

Nechte starosti s IT ve vaší organizaci na naší hlavu! Připravili jsem pro Vás tématické semináře, těšit se tak můžete na pravidelný přísun informací, novinek, zkušeností a nápadů z oblasti IT. Ušetřete čas i peníze díky efektivnímu IT!
Označeno v :
2073 Naposledy změněno neděle, 21 leden 2018
Kontaktujte našeho obchodníka
Jaroslav Kopecký
Jaroslav Kopecký
Jednatel společnosti
 kopecky@ogsoft.cz   +420 603 162 675
Přihlašte se k odběru novinek pro firmy