Hlavní navigace

Novinky ve zpracování osobních údajů. Jak se na ně připravit?

Už za rok vejde v platnost nové nařízení EU, tzv. GDPR, které změní pravidla zpracovávání osobních údajů ve všech zemích unie. Za jeho porušení hrozí sankce až půl miliardy korun.

Doba čtení: 3 minuty

Nové podmínky platí pro všechny bez ohledu na velikost či obor podnikání. Přizpůsobit se bude muset rovněž většina subjektů veřejné správy. Pokud si nejste jisti souladem svých postupů s GDPR nebo o tomto nařízení slyšíte prvně, měli byste se poradit s profesionály.

Týká se to i vás

Nové nařízení se dotýká všech subjektů, které zpracovávají jakékoli databáze osobních údajů nejen zákazníků, ale i zaměstnanců, pacientů, hostů a podobně. Nejčastější problémy přitom bývají v nedostatečném zabezpečení dat. GDPR klade důraz například na zajištění kybernetické bezpečnosti, šifrování dat, nastavení vnitrofiremních procesů, zajištění tzv. pseudonymizace, nebo adekvátní zabezpečení tiskového prostředí.

Pseudonymizace

Jde o zpracování osobních údajů způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací. Ty musejí být uchovány odděleně s dostatečnou technickou a organizační ochranou.

 Co GDPR požaduje?

Nové nařízení z dílny EU mění některé mechanismy doposud vyplývající ze Zákona o ochraně osobních údajů. Mezi nové povinnosti patří například zabezpečení zpracování osobních údajů vhodnými organizačními a technickými prostředky, rozšíření smluv o nové povinné náležitosti nebo přijetí interních kontrolních postupů zajišťujících zákonné zpracování osobních údajů. Dohled nad těmito postupy by měl mít na starosti tzv. pověřenec ochrany osobních údajů, který bude zároveň v kontaktu s Úřadem pro ochranu osobních údajů.

Mezi nejčastěji evidované osobní údaje patří:

• jméno, adresa

• poloha, elektronický identifikátor

• zdravotní údaje

• příjem

• kulturní profil

• služební e-mail a telefon vedoucí k identifikaci osoby, apod.

Jaké je řešení?

Posouzení souladu s GDPR, případně nastavení nových pravidel a postupů, může být pro většinu firem nad jejich síly. Existují však profesionální auditoři, kteří se analýzou zpracování osobních údajů zabývají. Výstupem odborného auditu pak musí být definice všech nedostatků a návrh vhodných řešení. Následná instalace nových systémů či zavedení bezpečnějších procesů může trvat delší dobu.  Zejména větší společnosti by proto měly s podobným auditem začít co nejdříve.   

GDPR

Tzv. GDPR (General Data Protection Regulation) vstoupí v ČR v platnost 25. 5. 2018. Pod názvem Obecné nařízení o ochraně osobních údajů EU nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES. Nedodržení nových pravidel může být pokutováno až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu obchodní společnosti, vždy podle toho, která

Na koho se obrátit?

Ideální poskytovatel auditu by měl z hlediska zabezpečení prověřit nejen využívané technologie, ale také softwarové nástroje, úložiště a databáze dat a všechny firemní postupy, během kterých se s osobními údaji jakkoli manipuluje. Komplexní audit zpracování osobních údajů v ČR poskytuje například Konica Minolta, které ve spojení s předními právními a konzultačními společnostmi zajišťuje rovněž ověření všech náležitostí obsažených ve smlouvách, firemních směrnicích nebo dokumentových šablonách.

Jak by měl audit vypadat?

Prvním krokem profesionálního auditu by mělo být uzavření dohody o mlčenlivosti, aby byla zajištěna bezpečnost údajů i během analýzy třetí stranou. Na základě osobního jednání se zástupci zákazníka by měl dodavatel následně sestavit seznam rizikových operací, dokumentů a dalších oblastí, u nichž provede technologické a právní posouzení. Výstupem auditu je pak písemné memorandum, které identifikuje rozpory s GDPR a doporučí vhodná řešení k nápravě. Například Konica Minolta již dnes poskytuje všechny své služby a produkty z oblasti dokumentových řešení a správy firemních procesů v souladu s pravidly GDPR. Svým zákazníkům je tak schopna na základě provedeného auditu zavést i příslušná vhodná opatření.