Nové podmínky platí pro všechny bez ohledu na velikost či obor podnikání. Přizpůsobit se bude muset rovněž většina subjektů veřejné správy. Pokud si nejste jisti souladem svých postupů s GDPR nebo o tomto nařízení slyšíte prvně, měli byste se poradit s profesionály.
Týká se to i vás
Nové nařízení se dotýká všech subjektů, které zpracovávají jakékoli databáze osobních údajů nejen zákazníků, ale i zaměstnanců, pacientů, hostů a podobně. Nejčastější problémy přitom bývají v nedostatečném zabezpečení dat. GDPR klade důraz například na zajištění kybernetické bezpečnosti, šifrování dat, nastavení vnitrofiremních procesů, zajištění tzv. pseudonymizace, nebo adekvátní zabezpečení tiskového prostředí.
Pseudonymizace
Jde o zpracování osobních údajů způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací. Ty musejí být uchovány odděleně s dostatečnou technickou a organizační ochranou.
Co GDPR požaduje?
Nové nařízení z dílny EU mění některé mechanismy doposud vyplývající ze Zákona o ochraně osobních údajů. Mezi nové povinnosti patří například zabezpečení zpracování osobních údajů vhodnými organizačními a technickými prostředky, rozšíření smluv o nové povinné náležitosti nebo přijetí interních kontrolních postupů zajišťujících zákonné zpracování osobních údajů. Dohled nad těmito postupy by měl mít na starosti tzv. pověřenec ochrany osobních údajů, který bude zároveň v kontaktu s Úřadem pro ochranu osobních údajů.
Mezi nejčastěji evidované osobní údaje patří:
• jméno, adresa
• poloha, elektronický identifikátor
• zdravotní údaje
• příjem
• kulturní profil
• služební e-mail a telefon vedoucí k identifikaci osoby, apod.
Jaké je řešení?
Posouzení souladu s GDPR, případně nastavení nových pravidel a postupů, může být pro většinu firem nad jejich síly. Existují však profesionální auditoři, kteří se analýzou zpracování osobních údajů zabývají. Výstupem odborného auditu pak musí být definice všech nedostatků a návrh vhodných řešení. Následná instalace nových systémů či zavedení bezpečnějších procesů může trvat delší dobu. Zejména větší společnosti by proto měly s podobným auditem začít co nejdříve.
GDPR
Tzv. GDPR (General Data Protection Regulation) vstoupí v ČR v platnost 25. 5. 2018. Pod názvem Obecné nařízení o ochraně osobních údajů EU nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES. Nedodržení nových pravidel může být pokutováno až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu obchodní společnosti, vždy podle toho, která
Na koho se obrátit?
Ideální poskytovatel auditu by měl z hlediska zabezpečení prověřit nejen využívané technologie, ale také softwarové nástroje, úložiště a databáze dat a všechny firemní postupy, během kterých se s osobními údaji jakkoli manipuluje. Komplexní audit zpracování osobních údajů v ČR poskytuje například Konica Minolta, které ve spojení s předními právními a konzultačními společnostmi zajišťuje rovněž ověření všech náležitostí obsažených ve smlouvách, firemních směrnicích nebo dokumentových šablonách.
Jak by měl audit vypadat?
Prvním krokem profesionálního auditu by mělo být uzavření dohody o mlčenlivosti, aby byla zajištěna bezpečnost údajů i během analýzy třetí stranou. Na základě osobního jednání se zástupci zákazníka by měl dodavatel následně sestavit seznam rizikových operací, dokumentů a dalších oblastí, u nichž provede technologické a právní posouzení. Výstupem auditu je pak písemné memorandum, které identifikuje rozpory s GDPR a doporučí vhodná řešení k nápravě. Například Konica Minolta již dnes poskytuje všechny své služby a produkty z oblasti dokumentových řešení a správy firemních procesů v souladu s pravidly GDPR. Svým zákazníkům je tak schopna na základě provedeného auditu zavést i příslušná vhodná opatření.