Za rok vejde v účinnost nové Nařízení o ochraně osobních údajů
Za rok, 25. května 2018, vejde v účinnost Nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR). To znamená zavedení nových opatření ve všech společnostech, které jakýmkoliv způsobem nakládají s osobními údaji občanů Evropské unie. Pro některé firmy to bude znamenat i restrukturalizaci celé IT architektury, proto by se měly na účinnost Nařízení začít připravovat již nyní. Zároveň Nařízení významně posiluje práva lidí coby subjektů údajů.
Nařízení o ochraně osobních údajů upravuje nové principy práce s osobními údaji. Výrazně posiluje odpovědnost správce, tedy organizace, které jsou osobní data svěřena. Nařízení platí pro všechny subjekty, které nakládají s osobními údaji občanů Evropské unie, mezi ty patří firmy, neziskové organizace ale například i nemocnice atd. Správci osobních údajů budou zodpovědní za správné zacházení s osobními údaji nejen ve své společnosti, odpovědnost s nimi budou sdílet i ti, kteří pro ně osobní údaje zpracovávají. Musí osobní údaje zabezpečit tak, aby eliminovali riziko jejich úniku, znehodnocení či ztráty.
„Díky novým technologiím jsou dnes firmy schopni využívat velké objemy dat, které se zpracovávají i napříč jednotlivými státy a dokonce i kontinenty, proto bylo zavedení nového nařízení o ochraně osobních údajů logickým krokem,“ komentuje Milena Jabůrková, členka představenstva SP ČR a dodává: „Je ale potřeba, aby se společnosti začaly na vstup nařízení připravovat co nejdřív. V některých společnostech bude kromě organizačních a právních kroků potřeba i změna celého IT systému či datové architektury a rok, který na to od teď mají, je nezbytné minimum.“
Podle průzkumu Svazu průmyslu a dopravy ČR, který realizoval na konci roku 2016, však téměř 60 % firem není o novém Nařízení informováno a není na jeho účinnost ani technicky připraveno. Přitom kolem 50 % firem udává, že při své práci s citlivými osobními daty pracuje. Svaz průmyslu a dopravy proto ve spolupráci s MPO a dalšími partnery připravuje pro společnosti a další subjekty, správce dat, sérii 11 školení, které jim metodicky pomohou lépe se na vstup Nařízení připravit.
Nakládání s osobními údaji by mělo být ve společnostech prioritním tématem
Osobní údaje budou nově požadovány a dále zpracovávány a uchovávány jen ke konkrétnímu účelu a po dobu nezbytně nutnou. To znamená, že například podnik bude uchovávat osobní údaje lidí pouze po dobu, po kterou jsou jeho zákazníky. Následně musí dojít k likvidaci dat. V případě, že zpracování údajů není nutné například z důvodu zákonné povinnosti, plnění uzavřené smlouvy, ochraně životně důležitých zájmů subjektů údajů nebo k němu subjekt nedal svolení, jedná se o zpracování nezákonné. Zakázáno je také poskytnutí osobních údajů třetí osobě bez souhlasu subjektu údajů. Za porušení povinností vyplývajících z nařízení hrozí vysoké pokuty až do výše 4 % celosvětového obratu firmy nebo 20 milionů Euro.
Z výše uvedených novinek vyplývá, že společnosti si musí provést kompletní revizi způsobu práce s osobními daty a jejich zpracováváním a nakládáním na všech firemních úrovních a ve všech systémech. Musí se zaměřit i na datovou architektu a zařadit téma ochrany osobních údajů mezi prioritní témata v chodu organizace.
„Ochrana osobních údajů je v jednadvacátém století jedním z naprosto zásadních témat. Inovovat stará pravidla tak bylo určitě potřeba, protože právo na ochranu soukromí je nutné dodržovat i v online prostoru. A firmy všech velikostí musí mít o pravidlech jasno, aby mohly bez obav rozvíjet svůj business kdekoliv v Evropě,“ uvedl Ondřej Malý, koordinátor digitální agendy ČR.
Některé podniky navíc musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii bezprostředně spadat pod vedení firmy. Pokud společnosti budou zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně.
„Pojetí ochrany osobních údajů můžeme přirovnat k bezpečnosti o ochraně zdraví při práci. Zde jde o ochranu osobních údajů ve všech systémech a procesech firmy. Pokud by došlo k porušení ochrany osobních údajů, podnik bude muset dokázat, že postupoval v souladu s nařízením a pro ochranu dat udělal vše, co bylo v jeho silách,“ vysvětluje Milena Jabůrková, členka představenstva SP ČR.
Díky Nařízení o ochraně osobních údajů dojde i k posílení práv subjektů osobních údajů
Každý nositel osobních údajů má právo na poučení o svých základních právech a informaci o době a účelu, ke kterému jsou jeho data zpracována. Každý člověk bude mít možnost na svou žádost dozvědět se, jaké údaje jsou o něm zpracovávány. Kromě těch, jež poskytl písemně, totiž mohou být v průběhu času zpravována například jeho data o pohybu, chování na internetu a podobně. Pokud zjistí, že si společnosti o něm uchovávají špatná data nebo s nimi nesprávně nakládají, má právo požádat o nápravu nebo dokonce o výmaz.
Aktivity SP ČR
Od února 2017 uspořádal SP ČR v šesti krajských městech pro firmy k tématu GDPR diskusní fóra. Nejčastěji na nich ze strany firem zaznívaly tyto otázky:
- Jak poznáme, že jsme změny v procesech nastavili správně?
- Co se stane, když dojde k narušení bezpečnosti dat, přestože jsme podnikli opatření, aby k tomu nedošlo?
- Jak se můžeme nejlépe připravit po technické stránce, když máme různé druhy a dodavatele SW, HW a služeb?
- Jak můžeme ochránit existující data v existujících systémech archivací smluv?
Role SP ČR v přijetí nařízení GDPR
- Vyjednáváme na národní a evropské úrovni, abychom v rámci adaptace na nařízení předešli zbytečné administrativní a finanční zátěži pro podniky a povinnostem nad rámec nařízení.
- Spolupracujeme s Úřadem vlády a s Úřadem na ochranu osobních údajů – dáváme zpětnou vazbu o praktických dopadech připravovaných opatření a legislativy v praxi, spolupracujeme na tom s členskými firmami a asociacemi Svazu.
- Školíme firmy a další společnosti a pomáháme jim se na účinnost nařízení připravit.
- Zvyšujeme povědomí podniků o nařízení.
Tisková zpráva ke stažení zde.
- Lenka Dudková
- /
-
kategorie Tiskové zprávy