GDPR nařízení: Proč není důvod se děsit?
General Data Proteciton Regulation, GDPR, či hezky česky Obecné nařízení na ochranu osobních údajů. Toto opatření přicházející z Evropského parlamentu a Rady začne platit už v květnu následujícího roku, a jelikož EU hrozí vysokými pokutami, mnohé firmy z něj mají strach. Ty zodpovědnější už si dávno našly vlastního konzultanta, ale co má dělat zbytek?
GDPR nařízením chce EU docílit toho, aby měli lidé větší kontrolu nad osobními údaji, které o nich uchovávají nejrůznější firmy. Stojíte-li v pozici fyzické osoby, můžete se tedy radovat. GDPR vám život neztíží, spíš naopak. Pakliže se ale musíte na situaci dívat ze strany firmy, začínáte možná být poněkud zoufalí. GDPR se blíží a většina lidí stále neví, jak se na něj připravit.
Na koho se vůbec GDPR nařízení vztahuje?
Jedná se o výsledek jednání orgánů Evropské unie, proto se dotýká firem po celé EU. Vztahuje se však rovněž na společnosti, které v unii pouze působí a zpracovávají data jejích obyvatel. O osobní informace tady totiž jde. GDPR nařízení je určené všem firmám, které nějakým způsobem pracují s citlivými daty zákazníků, zaměstnanců, dodavatelů apod. A to dělají téměř všechny korporace.
Samozřejmě existují výjimky. Od pravidel jsou oproštěny drobné firmy do 250 zaměstnanců, jestliže není zpracování osobních údajů jejich hlavní činností a splňují další předpisy. Kdo si není jistý, zda pod takovou výjimku spadá, nebo musí naopak začít GDPR řešit, měl by se co nejdříve obrátit na profesionály. Odborný GDPR audit napoví.
Co se změní?
Ačkoliv zní GDPR děsivě, spousta jeho mechanismů už v ČR dávno funguje podle stávajících zákonů. Novinkou jsou zejména práva subjektů údajů (tj. lidí, o nichž jsou údaje uchovávány) – musí být detailně informováni o tom, co se s jejich informacemi děje, a mohou požádat o jejich odstranění. Také budete mít přístup ke všem údajům, kdykoliv bude možné podívat se, co o vás jaká firma ví.
Za osobní údaje přitom nelze považovat pouze adresu, rodné číslo, národnost, náboženství aj., ale rovněž moderní parametry jako e-mail, IP adresa či cookie. Přísnému režimu budou podléhat i genetické a biometrické údaje. Chcete-li se dozvědět více, podívejte se na přesné znění GDPR nařízení zde.
Firmy budou mít povinnost ohlásit jakékoliv narušení bezpečnosti údajů Úřadu pro ochranu osobních údajů, a to do 72 hodin od zjištění. V některých situacích budou muset být informováni i majitelé odcizených dat. Zabráníte se tím případům, kdy jsme se o únicích dat dozvídali po několika letech. A to je jeden z mnoha důvodů, proč GDPR vůbec vzniklo.
Proč je GDPR potřeba?
Současná legislativa řídící ochranu osobních údajů je zastaralá. Nezná sociální sítě ani moderní technologie. Kdysi lidé nemohli vědět, v jak obrovském formátu se v budoucnosti bude pracovat s daty, a proto je potřeba vše zmodernizovat. Přesto ani GDPR nebude úplně aktuální. Nařízení se chystá už nějakou dobu a za současnými technologiemi bude o pár let zaostávat – nepočítá například s IoT (Internetem věcí). Oproti momentálním pravidlům se však jedná o velký pokrok.
A co když firma GDPR nařízení nedodrží?
EU hrozí vysokými pokutami až do výše 20 000 000 eur či 4 % z ročního obratu společnosti. Vše však bude záviset na závažnosti i délce porušení, počtu poškozených občanů a dalších kritériích. Sankce určitě nebudou tak vysoké, pokud se firma aspoň nějakým způsobem vynasnaží nařízení dodržovat. Po pravdě řečeno to vypadá, že se výší pokut ohání pouze GDPR konzultanti, kteří chtějí lidi vystrašit, a získat si tím zákazníky. Z GDPR mít strach nemusíte, ještě máte spoustu času na implementaci potřebných opatření. Nenechte se vystrašit, vždyť s nařízením se potýká spousta firem a všichni to nějak zvládnou.
Jak se ke GDPR postavit?
Hlavně se nezalekněte velkých pokut ani složitých implementací všech nařízení. Nejlepší bude si nejdříve samostatně přečíst nějaké informace o GDPR. Prostudovat si celé znění vyžaduje spoustu času, ale vyplatí se. Pak je vhodné najít odborníka, který vám provede GDPR audit. Zjistí, zda se na vás nařízení vůbec vztahuje, případně vyhodnotí, jaká opatření vás čekají. Následuje implementace doporučených opatření. V ČR působí spousta GDPR-ready dodavatelů nabízejících patřičnou podporu. Jejich seznam najdete třeba na https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/. Pomohou vám nastavit ICT systémy, odpovídajícím způsobem upravit webové stránky a zavést další požadavky. Zatím je ještě dost času, tak se nenechte vylekat a zařiďte si GDPR certifikaci. Dejte všem najevo, že s osobními údaji zacházíte, jak by se mělo. I v očích zákazníků tím získáte plus.
