Hlavní navigace

Novinky ve zpracování osobních údajů. Jak se na ně připravit?

Už za rok vejde v platnost nové nařízení EU, tzv. GDPR, které změní pravidla zpracovávání osobních údajů ve všech zemích unie. Za jeho porušení hrozí sankce až půl miliardy korun.

Nové podmínky platí pro všechny bez ohledu na velikost či obor podnikání. Přizpůsobit se bude muset rovněž většina subjektů veřejné správy. Pokud si nejste jisti souladem svých postupů s GDPR nebo o tomto nařízení slyšíte prvně, měli byste se poradit s profesionály.

Týká se to i vás

Nové nařízení se dotýká všech subjektů, které zpracovávají jakékoli databáze osobních údajů nejen zákazníků, ale i zaměstnanců, pacientů, hostů a podobně. Nejčastější problémy přitom bývají v nedostatečném zabezpečení dat. GDPR klade důraz například na zajištění kybernetické bezpečnosti, šifrování dat, nastavení vnitrofiremních procesů, zajištění tzv. pseudonymizace, nebo adekvátní zabezpečení tiskového prostředí.

Pseudonymizace

Jde o zpracování osobních údajů způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací. Ty musejí být uchovány odděleně s dostatečnou technickou a organizační ochranou.

 Co GDPR požaduje?

Nové nařízení z dílny EU mění některé mechanismy doposud vyplývající ze Zákona o ochraně osobních údajů. Mezi nové povinnosti patří například zabezpečení zpracování osobních údajů vhodnými organizačními a technickými prostředky, rozšíření smluv o nové povinné náležitosti nebo přijetí interních kontrolních postupů zajišťujících zákonné zpracování osobních údajů. Dohled nad těmito postupy by měl mít na starosti tzv. pověřenec ochrany osobních údajů, který bude zároveň v kontaktu s Úřadem pro ochranu osobních údajů.

Mezi nejčastěji evidované osobní údaje patří:

• jméno, adresa

• poloha, elektronický identifikátor

• zdravotní údaje

• příjem

• kulturní profil

• služební e-mail a telefon vedoucí k identifikaci osoby, apod.

Jaké je řešení?

Posouzení souladu s GDPR, případně nastavení nových pravidel a postupů, může být pro většinu firem nad jejich síly. Existují však profesionální auditoři, kteří se analýzou zpracování osobních údajů zabývají. Výstupem odborného auditu pak musí být definice všech nedostatků a návrh vhodných řešení. Následná instalace nových systémů či zavedení bezpečnějších procesů může trvat delší dobu.  Zejména větší společnosti by proto měly s podobným auditem začít co nejdříve.   

GDPR

Tzv. GDPR (General Data Protection Regulation) vstoupí v ČR v platnost 25. 5. 2018. Pod názvem Obecné nařízení o ochraně osobních údajů EU nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES. Nedodržení nových pravidel může být pokutováno až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu obchodní společnosti, vždy podle toho, která

Na koho se obrátit?

Ideální poskytovatel auditu by měl z hlediska zabezpečení prověřit nejen využívané technologie, ale také softwarové nástroje, úložiště a databáze dat a všechny firemní postupy, během kterých se s osobními údaji jakkoli manipuluje. Komplexní audit zpracování osobních údajů v ČR poskytuje například Konica Minolta, které ve spojení s předními právními a konzultačními společnostmi zajišťuje rovněž ověření všech náležitostí obsažených ve smlouvách, firemních směrnicích nebo dokumentových šablonách.

Jak by měl audit vypadat?

Prvním krokem profesionálního auditu by mělo být uzavření dohody o mlčenlivosti, aby byla zajištěna bezpečnost údajů i během analýzy třetí stranou. Na základě osobního jednání se zástupci zákazníka by měl dodavatel následně sestavit seznam rizikových operací, dokumentů a dalších oblastí, u nichž provede technologické a právní posouzení. Výstupem auditu je pak písemné memorandum, které identifikuje rozpory s GDPR a doporučí vhodná řešení k nápravě. Například Konica Minolta již dnes poskytuje všechny své služby a produkty z oblasti dokumentových řešení a správy firemních procesů v souladu s pravidly GDPR. Svým zákazníkům je tak schopna na základě provedeného auditu zavést i příslušná vhodná opatření.