O GDPR

O GDPR

Nová evropská směrnice GDPR krok po kroku

Evropská směrnice GDPR nabude účinnosti v květnu 2018

Většina manažerů si možná řekne, že to je ještě spousta času a že agendou, která se této problematiky bude týkat, se začne zabývat až ke konci letošního roku nebo i později. To je ale velká chyba a omyl, který může stát v konečném důsledku každou organizaci astronomickou pokutu ve výši až 4 % ročního obratu nebo pokutu v řádu milionů eur.

V posledních letech hodně slýcháme o tzv. big data, tj. sběru informací, které po sobě v kyberprostoru zanecháváme a jejich následného využívání k cílené reklamě. Jistě jsme již všichni slyšeli, jak se taková data dají zneužít nejen ke komerčním účelům, tedy k reklamě, newsletterům nebo telefonickému kontaktování, ale i k usměrňování veřejného mínění a k politickým cílům.

Stačí se jen okrajově podívat na to, jakým způsobem ovlivnily tyto skutečnosti nedávné americké volby nebo referendum o vystoupení Velké Británie z EU. A právě v této době je směrnice GDPR obzvláště důležitá. Bez nadsázky se dá říci, že se jedná o největší změnu legislativy v oblasti nakládání s osobními daty za posledních 20 let. O tom, že se způsob ukládání a spravování osobních dat, a hlavně jejich množství za tuto dobu zásadně změnily, nemá vůbec smysl polemizovat.

O GDPR je poslední dobou hodně slyšet. Stále se však najdou jedinci, kteří dopad této směrnice zpochybňují. Většinou se jedná o manažery, kteří nemají dostatečnou znalost této legislativní změny. Z pohledu nákladů na implementaci opatření, která zajistí soulad s GDPR, se bude jednat a vyšší částky než při zavádění elektronické evidence tržeb (EET). GDPR se navíc plošně týkat všech firem, které spravují jakákoli osobní data o občanech EU. V českém prostředí se tak jedná téměř o všechny firmy, protože většina firem uchovává minimálně data o svých zaměstnancích, klientech, dodavatelích a dalších subjektech, například potenciálních zákaznících.

Jak se tedy GDPR dotkne vaší společnosti a jaké kroky je potřeba udělat, abyste byli v květnu příštího roku připraveni? Níže jsem nastínil postup a shrnul jej do 9 nejdůležitějších kroků:

 

  • Promluvte si v širším vedení vaší společnosti o GDPR, zda jsou si všichni jeho členové vědomi tohoto nařízení a zda vědí, jaký dopad může mít zavedení směrnice na jejich úsek.
  • Uvědomte si, jaká osobní data vaše organizace zpracovává a uchovává, kde jsou tato data uložena, kdo k nim má přístup a zda se tento přístup monitoruje a ukládají se informace o přístupech pro případnou pozdější kontrolu. Také nezapomeňte na kontrolu, s kým a jakým způsobem osobní data sdílíte a jaký je důvod pro uchovávání těchto dat. V tomto úvodním kroku bych zejména větším společnostem doporučil datový a bezpečnostní audit, který tyto procesy zmapuje a upozorní na případné nedostatky.
  • Pokud při auditu najdete nepřesná nebo neúplná osobní data, pak je tato data potřeba opravit a pokud je sdílíte s dalšími organizacemi, je nutné je na to také upozornit.
  • Zkontrolujte vaše oznámení o sběru osobních dat a proveďte nezbytné změny tak, aby bylo oznámení v souladu s GDPR.  Podle současné právní úpravy jste povinni uvést, jak máte v úmyslu data použít a nově podle GDPR budete muset vysvětlovat právní základ pro zpracování údajů, délku uchovávání a okruh dalších subjektů se kterými mohou být data sdílena. Zde doporučuji tato pravidla definovat ve spolupráci s právníkem.
  • Ujistěte se, že máte přesně stanovenou politiku, která řeší, jak dlouho budete mít data v držení, a že máte přesně popsáno jakým způsobem budou data po skončení této doby vymazána.
  • Jednotlivci mají právo přístupu k informacím, které o nich schraňujete, mají právo data upravit nebo požadovat jejich vymazání (právo být zapomenut). GDPR výrazně zkracuje dobu, kdy musíte být schopni tyto akce udělat. Připravte se na revizi těchto procesů.
  • Ujistěte se, že máte funkční systém pro potvrzení věku jednotlivců, kteří vám data poskytují. GDPR se hlouběji zaobírá i právy dětí a váš informovaný souhlas musí být jednoduše srozumitelný i dítěti.
  • Ujistěte se, že máte nastavené procedury, které dokážou rozpoznat bezpečností incident, nahlásit incident dozorujícím orgánům a provést průzkum toho, co se stalo. Tady bych doporučil opět bezpečnostní audit a řídit se jeho doporučeními. Taktéž se v tomto bodě bude skrývat dost pravděpodobně největší část investic do nových technologií, které tyto procedury dokážou naplnit. Z pohledu IT oddělení bude toto naprosto zásadní a klíčová věc v celém procesu a vyžádá si kromě finančních prostředků také největší díl času. Obzvláště u větších firem už jsme za bodem, kdy by se mělo ideálně s bezpečnostním auditem začít.
  • Pokud se na vás bude vztahovat povinnost ustanovit Data Protection Officera (DPO), tak jej začněte včas hledat. GDPR nestanovuje nutnost jmenování DPO plošně pro všechny organizace, ale je potřeba mít minimálně osobu zodpovědnou za osobní data a nakládání s nimi. Role DPO může být plněna interním, ale i externím člověkem.

 

Jak je z výše uvedeného zřejmé, tak se zejména u větších organizací nebo organizací, které zpracovávají větší množství osobních údajů, jedná o problematiku velice komplexní a při rozložení těchto kroků do časové osy zjistíte, že čas pro přípravu už začal.

 

Václav Petrželka,

Regional Account Manager společnosti Trend Micro

Trend Micro dodává bezpečnostní řešení pro soulad s GDPR

Zdroj: Komora.cz