Splníme Vám víc než jen 3 přání

Firmy budou muset chránit svá data

Dne 25. května 2018 vstoupí v celé EU včetně Česka v  platnost nařízení 2016/679 o ochraně fyzických osob v  souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (tzv. obecné nařízení o ochraně osobních údajů neboli GDPR).

Všechny české firmy, instituce, ale i jednotlivci zacházející s  osobními údaji se musí připravit na přísnější pravidla ochrany osobních údajů svých zaměstnanců i  klientů. Osobní údaj je podle nařízení jakákoliv informace o fyzické osobě, která dovoluje přímou či nepřímou identifikaci. Kromě tradičního jména a kontaktů to tak mohou být i lokační údaje, IP adresa, fyzické či fyziologické údaje, a to nejen v  případě klientů, ale i u  uživatelů webových stránek, příjemců reklamních newsletterů, zaměstnanců, odběratelů, dodavatelů apod.

Všechny firmy i státní úřady bez ohledu na velikost nebo počet zaměstnanců budou muset zavést technická, organizační a procesní opatření, tak aby nakládání s osobními údaji odpovídalo hlavním zásadám ochrany osobních údajů (viz box). Zároveň to pak pro subjekty nakládající s osobními údaji znamená:

  • Vypracování tzv. posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment);
  • Zajištění záměrné a nezbytné ochrany dat;
  • Povinnost oznámit neoprávněný přístup Úřadu pro ochranu osobních údajů do 72 hodin a informovat i všechny poškozené, tedy i klienty (což má dopad na reputační riziko);
  • Významní správci citlivých informací je musí začít šifrovat nebo anonymizovat, aby z nich nebylo možné vyčíst identitu konkrétního člověka;
  • Nařízení zavádí novou funkci: pověřenec ochrany dat. Ten bude dodržování pravidel kontrolovat ve státních úřadech, větších obcích nebo ve firmách, které zpracovávají velký objem osobních údajů (povinnosti mít pověřence se ale nejspíš nevyhnou ani soukromé ordinace se stovkami pacientů nebo malé IT firmy, jejichž aplikace používají statisíce lidí). Subjekty ale budou moci pověřence nejspíš „outsourcovat“.

Při významném porušení ochrany může pokuta u jedné firmy nebo instituce dosáhnout výše až 20 mil. eur (540 mil. Kč) nebo 4 % jejího celosvětového obratu − podle toho, která částka bude vyšší. U menších firem by se náklady na zavedení všech opatření mohly pohybovat v řádu desítek až stovek tisíc korun, u větších firem a institucí i v desítkách milionů.

Podniky, úřady i obce by přitom měly celou situaci řešit již nyní – velkým firmám zabere celá inventura svého zacházení s daty až rok a následné nasazení technických prostředků pro jejich zabezpečení i několik měsíců. Menší firmy mohou stihnout celou implementaci za několik týdnů. Firmy přitom o evropském nařízení zatím pořádně ani neví.

Podle průzkumu společnosti Eset s analytickou IDC z konce roku 2016 téměř 78 % dotázaných manažerů s rozhodovacími pravomocemi v oblasti IT v malých a středních firmách buď postrádalo informace o dopadech regulace na jejich organizaci, nebo si jich nebyli zcela vědomi. Z těch, co měli o GDPR ponětí, jich 20  % uvedlo, že jsou s tímto nařízením již nyní plně kompatibilní, 59 % deklarovalo, že na tom pracují, a 21 % přiznalo, že na GDPR nejsou vůbec připraveni.

Stále však panují nejasnosti, protože český zákon, který unijní pravidla zpřesní, má být schválen až po říjnových volbách. Na 90 % novinek se dá ale připravit už nyní, protože klíčové evropské nařízení bude v květnu účinné tak jako tak.

Naopak na zvýšenou ochranu dat se těší bezpečnostní a  antivirové firmy, pro něž by jen v Česku mohl vzniknout zcela nový trh o  velikosti stovek milionů korun. Na start GDPR se chystají také poskytovatelé služeb internetových úložišť – cloudů jako česká pobočka Microsoftu nebo DataSpring ze skupiny KKCG. Jim by pak firmy mohly převést osobní data a cloudoví poskytovatelé se stanou garanty toho, že data neuniknou. To by však mohlo vést ke zdražení cloudových služeb na celém trhu.

Hlavní zásady ochrany osobních údajů

  • Zpracovány zákonným, transparentním a korektním způsobem;
  • Shromažďovány pro určité, výslovně vyjádřené a legitimní účely;
  • V přiměřeném, relevantním a omezeném rozsahu pro daný účel;
  • Přesné a aktualizované;
  • Uchovávány pouze ve formě umožňující identifikaci subjektů údajů;
  • Uchovávány pouze po dobu nezbytnou pro účely zpracování;
  • Zpracovány způsobem, který zajistí dostatečné zabezpečení;
  • Chráněné vhodnými technickými nebo organizačními opatřeními (před neoprávněným či protiprávním zpracováním, před ztrátou, poškozením či zničením);
  • Za dodržení odpovídá správce a musí být schopný doložit soulad.

Zdrojem článku je Měsíčník EU aktualit, číslo 165, červen 2017

Autorem článku je Radek Novák, Ekonomické a strategické analýzy ČS

Staň se členem GRANT klubu a neunikne ti žádná dotační příležitost

Chci se stát členem