Zbývá už jen pět měsíců. GDPR, neboli General Data Protection Regulation, vejde v platnost 25. května 2018, a firmy tedy mají jen poslední chvilky, aby provedly nezbytné změny. Některé se nového evropského nařízení bojí, ale ty, co už se nechaly zasvětit do tajů GDPR nařízení, pochopily, že nejde o nic, co by mělo firmu zlikvidovat. A to navzdory přísným pokutám.
Právě vysoké pokuty jsou důvodem, proč se nejrůznější společnosti GDPR nařízení tolik obávají. Firmám, které nařízení nezavedou či budou porušovat, hrozí sankce až do výše 20 000 000 eur či 4 % z celkového ročního obratu (vyšší z možností). Tak obrovské částky mohou být obzvlášť pro menší firmy až likvidační. Ovšem nebojte se, nic není tak horké.
Co je vlastně GDPR?
GDPR je nové nařízení o ochraně osobních údajů, které by mělo zaručit, že se s citlivými údaji bude ve všech zemích Evropské unie jednat stejně. Žádní zákonodárci si pravidla nebudou moci upravovat a přizpůsobovat místním zájmům.
Po pravdě řečeno, už bylo načase s něčím takovým přijít. Doposud se totiž evropská legislativa řídila zákony z roku 1995. Tehdy neexistovalo nic jako sociální sítě, AI, cloudová úložiště ani další dnes naprosto běžné technologie. Nikdo ještě netušil, jak vysoce automatizované zpracování dat v budoucnosti bude.
U nás se doposud o prosazování ochrany údajů staral Úřad pro ochranu osobních údajů (ÚOOÚ), jemuž i nadále zůstanou pravomoci v této oblasti. Zároveň ale bude podléhat Evropskému sboru pro ochranu osobních údajů (EDPB), na který se kdokoliv může obrátit v případě pochybností o rozhodnutí ÚOOÚ.
Jak se dotýká firem?
Firmy, které nějakým způsobem nakládají s osobními údaji, by měly zrevidovat své informační systémy a zajistit, aby vše prováděly v souladu s GDPR nařízením. Budou mít například povinnost zavést tzv. pseudonymizaci určitého druhu osobních údajů, vést záznamy o činnostech zpracování, na požádání odstranit nepotřebné údaje a okamžitě oznamovat závažné úniky citlivých informací. Některé společnosti si budou muset také nechat vypracovat posouzení vlivu na ochranu osobních údajů (tzv. DPIA – Data Protection Impact Assessment) a jmenovat pověřence pro ochranu osobních údajů (tzv. DPO – Data Protection Officer).
Výjimky dostanou drobné organizace do 250 zaměstnanců, pokud tedy zpracování osobních údajů není jejich hlavní činností.
Jak se vlastně k celému problému postavit?
Rozhodně není dobré se krčit v koutku a zbytečně se obávat. Pro spoustu firem není implementace nových podmínek nikterak finančně náročná. Na druhou stranu přečíst si pár článků o tom, co je GDPR, asi stačit nebude. Nejzodpovědnější je domluvit si schůzku s odborníkem. Společnosti, které provádí rozsáhlý sběr, analýzu či ukládání osobních údajů, čeká hodně práce. Pokud si nejste jistí, jak se GDPR dotkne konkrétně vás, mohl by vám posloužit i základní online audit od Asociace za lepší ICT řešení, který je k dispozici zdarma. Ostatně na internetu najdete spoustu informací o GDPR, ale dávejte si pozor na to, od koho jsou. Vždy je lepší ptát se na rady specializovaných odborníků.