GDPR aneb zpracování osobních údajů

od | 8.7.2017 | Novinky, Okénko, Změna zákona

Souhlasíte se zpracováním osobních údajů? Většina z nás, když vidí někde tuto otázku, bez valného zájmu či povšimnutí podepíše. A proč? Protože jinak Vás telefonní operátor, internetový e-shop či spoustu jiných firem nepustí dál a Vy nemůžete pokračovat v aktivitách, které jste zamýšleli. V podstatě Vás tedy donutí souhlasit a Vy vlastně mnohdy ani nevíte, s čím to souhlasíte.

V roce 2015 tuto problematiku řešily členské země EU, které se dohodly na vzniku tzv. GDPR neboli Generel Data Protection Regulation. Jedná se o zásadní reformu, která vejde v platnost 25. května 2018, tedy za necelý rok. Možná se Vám to zdá jako dlouhá doba, ale věřte, že je tomu právě naopak. Nastává ten pravý čas, kdy se GDPR začít opravdu zeširoka věnovat.

Nastává zásadní otázka – komu a pro koho je GDPR vlastně určeno? V následujícím textu se Vám pokusíme alespoň z části danou problematiku osvětlit.

Tato novelizace přesně stanovuje, jakým způsobem mají firmy zacházet, shromažďovat a uchovávat data o svých kontaktech, a to stejným způsobem a ve všech členských zemích EU. U nás nahradí směrnici 95/46/ES a zákon č. 101/2002 Sb., o ochraně osobních údajů.

Toto nařízení se netýká jen velkých společností, ale i jednotlivců a malých podniků. Povědomí o tom, že něco takového vejde v platnost, má díky médiím většina lidí v našem státě, nicméně to, jak a co vlastně dělat, to už ví málokdo. Přitom pokuty za nedodržování nastavených pravidel či vůbec za ignorování této novelizace mohou být pro menší firmy až likvidační, neboť pokuta může šplhat do výše 4% z celkového ročního obratu společnosti či maximálně 20 000 000 EUR, přičemž se bude brát vyšší částka. V neposlední řadě se také společnosti mohou potýkat s žalobami za porušení zákonem daných podmínek a smířit se pak například se ztrátou firemní identity.

Celý systém GDPR má pod záštitou Úřad pro ochranu osobních údajů, ale také evropské dozorové orgány. Všechny tyto instituce budou dbát na to, aby vše probíhalo v souladu s novým ustanovením.

Změny, které s sebou GDPR přináší, jsou nemalé, zasáhnou v podstatě celý chod a řízení společnosti. Mimo jiné s sebou GDPR také nese zvyšování firemních výdajů, a to na zaškolení zaměstnanců související s ochranou osobních údajů, investice do IT a zařízení s tím souvisejícím či alespoň zvýšit platby na pojistném pro případ ztráty či porušení bezpečnosti osobních údajů.

Implementace GDPR má několik fází, kdy každá fáze navazuje na další a není možné skákat z jednoho kroku na druhý. Možná skákat můžete, ale nevyhnete se pak možným vyšším výdajům či opomenutí některých principů.

Pokud bychom měly stručně charakterizovat jednotlivé kroky, tak:

  1. Každý, kdo nějakým způsobem zpracovává osobní údaje, by měl zjistit aktuální stav zabezpečení a zpracování osobních údajů včetně toho, jakými cestami údaje získáváte, uchováváte a také jak je mažete. Týká se dat všech Vašich kontaktů, a to i webových – protože dle GDPR bude za osobní údaj považována například i IP adresa.
  2. Bude platit, že různé typy osobních údajů bude nutné chránit rozdílným způsobem, proto bude nezbytně nutné vyhodnotit, jaké typy údajů uchováváte.
  3. Po těchto krocích nastane další krok, a to zrealizovat projekt zavádění GDPR – kdy tento proces s sebou bude nést zřejmě dodávku určitých služeb od více dodavatelů, které budou provádět rozlišné typy služeb.
  4. Provedení analýzy u dat, zda je nutné vyžadovat písemný souhlas se zpracováním osobních údajů či nikoliv. Všechna data je nutné upravit tak, aby splňovala legislativní podmínky. Je tedy třeba provést inventuru všech právních dokumentů – směrnic, smluv atd., kde se vyskytují osobní údaje.  Nezapomeňte, že úpravu dat je důležité provést do 25. května 2018.
  5. Sestavení týmu, který bude mít celý proces nastavení na starosti. Nejedná se však pouze o odborníky z řad právníků, IT specialistů, ale měl by být veden zkušeným projektovým manažerem a řadou marketingových specialistů. Vybrané subjekty také budou muset povinně mít nezávislého garanta tzv. Pověřence (DPO), který bude zprostředkovávat styk mezi veřejností a dozorovým orgánem.

GDPR, 4 písmenka, spoustu starostí. Nicméně je nutno podotknout, že cílem GDPR je najít soulad mezi svobodným přístupem k informacím a také právem na soukromí, vzhledem ke zvýšenému používání sociálních sítí a multimediálních prostředků. GDPR chce chránit práva občanů EU, aby nedocházelo k nezákonnému zacházení s jejich osobními daty.

GDPR dává právo občanům vznášet připomínky proti zpracování dat a daný subjekt tato data dále nebude moci zpracovávat, vyjma případů, které by byly závažné. Dále by mělo být možné, abychom si své osobní údaje mohli online a přímo prohlédnout. S tím také souvisí právo na absolutní vymazání všech osobních údajů. Dohled nad dodržováním této novelizace budou mít právě Prověřovatelé, kteří budou muset zneužívání osobních dat nahlásit příslušným orgánům, a to neprodleně, bez zbytečného odkladu.

Závěrem bychom Vám rády doporučily, abyste celou závažnost GDPR absolutně nepodceňovali a brali ji opravdu vážně, neboť to není pouze strašák a administrativní bubák, ale jedná se o reálný stav, který opravdu nastane, a proto je třeba brát ho na vědomí.

Snažte se najít takový tým, který bude danému tématu věnovat značnou pozornost a prověřte si, že se jedná o odborníky (tady asi nemůžeme hovořit o odbornících z praxe, protože je to nové pro všechny). Věřte, že všude na internetu, facebooku a v novinách najdete spoustu inzerátů a firem, které Vám nabídnou program GDPR šitý na míru, ale prosím, zvažte, komu dáte tu moc a také důvěru v to, aby za Vás zajistil ochranu údajů o Vašich klientech, zaměstnancích a Vašem okolí. Důvěřujte, ale prověřujte. Hledejte takové odborníky, kteří Vám budou krýt záda a tím hledáním kryjte i záda Vašeho okolí.

Přejeme Vám krásné letní dny.

Za JVL finance, Lucie Műllerová

Zdroj: Úřední věstník EU