Nařízení přináší povinnost správců a zpracovatelů těchto údajů bez ohledu na velikost organizace nebo počet zaměstnanců zavést technická, organizační a procesní opatření, Ta mají zajistit adekvátní zabezpečení odpovídající výši rizika úniku a zneužití osobních údajů, Opatření pro menší firmu zpracovávající desítky až stovky údajů jsou tedy výrazně menší než pro správce desítek tisíc záznamů. Míru rizika a citlivosti osobních údajů přitom vyhodnocuje sám správce.
Nařízení dále zavádí právo osob na přenositelnost nebo výmaz údajů a přístup k nim v případě fyzických i technických incidentů. Právo na přenositelnost vyžaduje, aby správce na vyzvání subjektu poskytl jeho data ve strukturované podobě (prakticky to např. může znamenat snadnou přenositelnost dat mezi e-shopy nebo sociálními sítěmi).
Povinností správce je také oznámit neoprávněný přístup k datům – tedy jejich možný únik ve větším rozsahu – kontrolnímu orgánu do 72 hodin od zjištění. V případě, že porušení zabezpečení může ohrozit práva osoby subjektu údajů, existuje povinnosti ji informovat také. Podle GDPR platí presumpce viny správce dat – pokud si na vás bude subjekt stěžovat u kontrolního orgánu a vy nedokážete prokázat opak, automaticky jste vinni.
Za neplnění požadavků hrozí pokuty ve výši až 20 milionů eur nebo 4% z celosvětového ročního obratu organizace. Regulátorem, který bude na dodržování dohlížet a přijímat stížnosti, je Úřad pro ochranu osobních údajů (ÚOOÚ), se kterým lze také problematiku konzultovat.
Pro organizace, které nakládají s osobními údaji fyzických osob, to znamená vypracování posouzení vlivu na ochranu osobních údajů, případné jmenování pověřence pro ochranu OÚ (data protection officer) a další aktivity typu pseudonymizace či šifrování údajů, logování všech činností s nimi souvisejících, viz dále.
Co je zpracování osobních údajů
Osobní údaj podle GDPR je jakákoliv informace o fyzické osobě, která dovoluje její přímou či nepřímou identifikaci. Kromě tradičního jména a kontaktů to tak mohou být i lokační údaje, IP adresa nebo fyzické či fyziologické údaje. Pod nepřímou identifikací si můžete představit například odděleně vedenou knihu jízd se jménem zaměstnance půjčujícího si auto a GPS lokátor v daném vozidle – spojením lokačních údajů z navigace s evidencí jízd se z nich stávají osobní údaje.
Navíc vznikla speciální úprava pro „citlivé“ údaje typu rasového, národnostního či etnického původu, politických názorů nebo náboženského vyznání, které vyžadují vyšší úroveň zabezpečení. Citlivé jsou samozřejmě informace o zdravotním stavu, genetické a biometrické údaje atp.
Za zpracování údajů se podle GDPR považuje i to, že je pouze ukládáte na server a dále s nimi nepracujete.
Osoby musíte také informovat, jak a kdo bude s daty nakládat nebo jak může zažádat o jejich přenesení či výmaz. Z toho vyplývá, že dříve udělené souhlasy je potřeba aktualizovat podle požadavků GDPR.
Pokud uplyne doba pro uchování údajů, osoba souhlas odvolá nebo není nutné mít údaje pro zpracování, je třeba je vymazat a zaslat o tom osobně potvrzení. Právo na výmaz není absolutní, což znamená, že vaší povinností je zajistit, aby data nebyla znovu použita k účelu, ke kterému již neexistuje souhlas, respektive právní titul. Fyzicky často není možné kvůli zálohám či zákonné archivaci zajistit úplný výmaz, měli byste se však postarat, aby při obnově záloh nedošlo k oživení i „smazaných“ dat.
GDPR bude prakticky všudypřítomné, bude prostupovat celou organizací a dotkne se všech klíčových podnikových systémů. Nařízení se navíc nevztahuje pouze na digitální data a systémy, ale i na informace v listinné podobě, kartotéky a další „papíry“.
Výjimky existují
Nařízení má určité výjimky, Jde např. o údaje nezbytné pro určení, nutné pro výkon či obhajobu právních sporů nebo nezbytné pro plnění právních povinností či splnění úkolu ve veřejném zájmu. Výjimku pro zpracování dat bez souhlasu má např. plnění smlouvy nebo jednání o jejím uzavření či ochrana vlastních oprávněných zájmů.
Hlavní zásady ochrany osobních údajů v kostce:
- Zpracovány zákonným, transparentním a korektním způsobem
- Shromažďovány pro určité, výslovně vyjádřené a legitimní účely
- V přiměřeném, relevantním a omezeném rozsahu pro daný účel
- Přesné a aktualizované
- Uchovávány pouze ve formě umožňující identifikaci subjektů údajů
- Uchovávány pouze po dobu nezbytnou pro účely zpracování
- Zpracovány způsobem, který zajistí dostatečné zabezpečení
- Chráněné vhodnými technickými nebo organizačními opatřeními (před neoprávněným či protiprávním zpracováním, před ztrátou, poškozením či zničením)
- Za dodržení odpovídá správce a musí být schopný doložit soulad
Zdroj: Lenka Suchánková - advokátní kancelář Pierstone
Koho se GDPR týká
Z výše uvedeného vyplývá, že nové nařízení se dotýká ve větší či menší míře v podstatě všech organizací – vždy budete vy nebo vaši klienti ukládat minimálně údaje o svých zaměstnancích a kontakty na zákazníky bez ohledu na to, zda jsou firemní.
Na koho GDPR dopadá nejvíce? Na organizace, které mají data velkého množství fyzických osob nebo pracují s jejich citlivými údaji – typicky bankovnictví, pojišťovnictví, retail a internetové obchody, výroba a služby, zdravotnictví nebo veřejná správa, pošta a právní kanceláře.
Nařízení pracuje se třemi základními typy subjektů: subjekt údajů (FO, jejíž data zpracováváte), správce (organizace pracující s daty), zpracovatel (FO nebo PO, která data zpracovává pro správce – např. cloudový provider, poskytovatel SaaS, ale i externí účetní a mzdová kancelář).
Zajistit shodu s GDPR v malé až střední firmě je tak sice za 4-6 měsíců možné, avšak řízení IT musí být na dobré úrovni, musí mít vnitřní procesy zohledňující zákon č. 101 a znát všechny aplikace, dokumenty a procesy, což se často neděje. Navíc organizace běžně nemají pravidla pro práci s výpočetní technikou, zaměstnanci nejsou školeni v oblasti bezpečné práce s IT a není definovaný životní cyklus zaměstnanců.
Technická stránka příprav
Z uvedené problematiky by mělo být zřejmé, že žádný IT výrobce nedokáže zcela vyřešit komplet agendu GDPR v organizaci od A do Z. Vendoři bezpečnostních řešen by vám měli být schopni vysvětlit, kde konkrétně je jejich místo.
Při analýze zabezpečení organizace se doporučují tyto kroky:
- Definovat, co je nutné zabezpečit, jak, proč a proti čemu
- Nastavit segmenty sítě a jejich zabezpečení
- Rozhodnout, zda bude možné využít současnou platformu, nebo je nutné nasadit novou
- Definovat datové toky
- Zajistit spolupráci jednotlivých systémů mezi sebou při zajištění výkonu, stability, kompatibility při akceptovatelných nákladech
- Monitorovat a automaticky vyhodnocovat bezpečnostní incidenty
Do příštího května 2018 tedy není nutné mít hotová všechna opatření, ale je důležité znát všechna zpracovaná data a nastartovat uvedené procesy. Než vyčkávat a odkládat přípravy s tím, že nechápete některé výklady práva, je určitě lepší v případě incidentu pak prokázat, že jste se snažili připravit. To vše jsou polehčující okolnosti.
Pět kroků při přípravě na GDPR podle Gartneru:
1. Jmenování DPO
GDPR zavede pro řadu organizací povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – data protection officer), který bude dohlížet na soulad s novými pravidly (dodržování směrnic, audity, školení). To platí zejména pro veřejné instituce nebo organizace, jež dělají „rozsáhlé zpracovávání“ osobních údajů (typicky velké nemocnice, finanční instituce, poskytovatelé cílené reklamy, pozn. red.)
2. Transparentnost a dohledatelnost
Jednou z největších výzev bude zmapovat veškeré kroky spojené se zpracováváním osobních údajů. Organizace potřebují nastavit transparentní procesy a také zajistit snadnou dohledatelnost souhlasu subjektu údajů se zpracováním. GDPR vyžaduje poměrně přísnou evidenci spojenou s nutností získat jasný a výslovný (a nevynucený) souhlas subjektu.
3. Kontrola přeshraničního přesunu dat
GDPR umožní volně přesouvat osobní údaje v rámci členských států EU a několika dalších zemí. V případě, ž data překročí hranice této zóny, je zapotřebí zajistit jejich ochranu pomoc smluv a závazných pravidel.
4. Revize zpracovatelů
Evropské organizace by měly věnovat zvláštní pozornost výběru externích zpracovatelů a zajistit, aby byla zavedena příslušná ochranná opatření. Společnosti sídlící mimo EU by pak měly věnovat stejnou pozornost tomu, zda nakládají s údaji občanů EU.
5. Příprava na využit práv
Organizace se musejí připravit na to, že GDPR dá subjektům údajů poměrně široká práva, a je třeba očekávat, že je začnou využívat. Subjekt získá například právo „být zapomenut“ nebo být informován o případném úniku dat.
Zdroj: Gartner
Původní článek vyšel v časopise ChannelWorld č. 5, listopad 2017, autoři: Jan Mazal a Matěj Čuchna - článek byl redakčně upraven a zkácen