Zpřísní se ochrana soukromí, podnikatelům přibudou povinnosti

GDPR (General data protection regulation) je nová legislativa Evropské unie, která podstatně zvýší ochranu osobních dat občanů. A také zatížení firem, které jí budou podléhat. GDPR vstoupí v platnost 25. května 2018 – nejvyšší čas zmapovat terén a pustit se do práce.

03.05.2017

GDPR dopadne na většinu právnických osob i OSVČ, a zřejmě se tedy bude týkat také vás. Mávnout nad tím rukou nemůžete. Porušení principů GDPR vám může vynést postih až 20 mil. eur nebo 4 % z celosvětového obratu. Další svévole bruselských byrokratů? Ne tak docela. GDPR nahradí tuzemský zákon č. 101/2000 Sb., o ochraně osobních údajů. Významně ovšem rozšíří definici osobních údajů a způsob nakládání s nimi. Komu není milé strkání cizích nosů do soukromých věcí, měl by jako občan iniciativu EU přivítat. V roli podnikatele asi budete projevovat menší nadšení.

Jste na GDPR připraveni?

Osobním údajem jsou všechny informace, s jejichž pomocí dokážete identifikovat fyzickou osobu. Jde typicky o jméno, adresu, email, telefonní číslo, rodné číslo, adresu nebo zdravotní údaje. Zpracováním osobních dat je také shromažďování údajů o zaměstnancích nebo o zákaznících, např. provozem systému věrnostních karet.

Museli byste podnikat v hodně šťastném oboru, abyste se o GDPR nemuseli zajímat. Co všechno tedy po vás bude nová legislativa chtít?

  • Budete muset vědět, jaké osobní údaje shromažďujete, jak je zpracováváte, a ovšem i kde přesně je máte.
  • Odvolání souhlasu se zpracováním osobních údajů ze strany zákazníka bude muset být stejně jednoduché jako předchozí souhlas.
  • Osobní údaje bude třeba anonymizovat nebo pseudonymizovat.
  • Budou muset být přenositelné v elektronické formě.
  • Zákazníci i zaměstnanci se budou moci dotazovat, jaké informace o nich shromažďujete, a vy jim to budete muset říct.
  • Budete povinni vyjít vstříc novému právu občana "na zapomenutí". Pokud ho zákazník uplatní, budete muset všechny údaje o něm zlikvidovat (i proto bude dobré vědět, kde všude je máte).
  • GDPR bude vyžadovat posouzení vlivu zpracování údajů na jejich ochranu a vyhodnocení dopadů v případě porušení ochrany.
  • Některé subjekty budou muset ustanovit tzv. pověřence pro ochranu osobních údajů a seznámit je s jejich povinnostmi.
  • Chtě nechtě povedete záznamy o průběhu zpracování. Budete muset hlásit úniky dat a jiná porušení jejich ochrany.

Ve světle všech uvedených povinností tipujeme, že na otázku v mezititulku dnes odpoví "ano" málokdo.

Kde začít?

Zkuste to u nás. Proč? Problematice ochraně osobních dat, a tedy i GDPR, se dlouhodobě věnujeme. Máme připravena opatření nezbytná pro naplnění souladu s GDPR, máme bohaté zkušenosti s datovými audity. Připravíme vám interní předpisy, zajistíme vyškolení zaměstnanců a provedeme celou přípravou.

Kdy začít?

Hned. Čas běží jako voda a květen 2018 tu bude dřív, než se nadějeme. Problematika GDPR je příliš komplexní a rizika sankcí příliš vysoká, než aby se vyplatilo pracovat ve spěchu a stresu.

GDPR (General data protection regulation)
Příprava
Duben - Červen 2017
Soupis relevantních dat v elektronické i písemné podobě, jejich zdrojů, zpracování, možnosti anonymizace či pseudonymizace, posouzení vlivu zpracování, důvod zpracování.
GDPR (General data protection regulation)
Rozhodnutí
Červenec 2017
Rozhodnutí o potřebě zpracování jednotlivých dat, anonymizaci či pseudonymizaci a dalším zpracováním dat.
GDPR (General data protection regulation)
Návrh
Srpen - Září 2017
Návrh jednotlivých technických, procesních a administrativních opatření pro zpracování dat, zabezpečení, právo přesunu, právo být zapomenut.
GDPR (General data protection regulation)
Opatření
Říjen - Listopad 2017
Rozhodnutí o realizaci jednotlivých opatření.
GDPR (General data protection regulation)
Realizace
Prosinec 2017 - Duben 2018
Vlastní realizace technických, procesních a dministrativních opatření.