Ochrana dat, pseudonymizace, vedení záznamů, funkce pověřence pro ochranu osobních údajů a okamžité nahlášení porušení ochrany dat. Těchto pět nejdůležitějších povinností pro podniky přinese v květnu GDPR.
Nové nařízení Evropské unie o ochraně osobních údajů (GDPR), které vstoupí v platnost letos v květnu, přináší řadu změn. Upravuje nejen práva občanů, ale také povinnosti podnikatelů.
GDPR se přitom dotkne úplně všech firem, které mají více než jednoho zaměstnance. Nemusí přitom fungovat ani na internetu. Podnikatele tak čekají velké investice do úprav softwaru i jednotlivých procesů ve firmách. V následujících řádcích shrnujeme pět nejvýznamnějších povinností, které ze zavedení GDPR pro podniky vyplývají.
Ochrana dat
GDPR rozšiřuje definici osobních údajů. Nově budou osobními údaji také e-mail, telefonní číslo, fotografický záznam, IP adresa nebo hojně diskutované cookies. Nařízení přidává rovněž novou kategorii tzv. genetických a biometrických údajů. Tyto údaje, stejně jako údaje o rasovém či etnickém původu, politických názorech, zdravotním stavu nebo sexuální orientaci, bude možné zpracovávat pouze ve velmi přísném režimu.
Pseudonymizace
Pseudonymizace osobních údajů je proces, kdy se identita skryje. Cílem pseudonymizace je mít možnost získávat další údaje jednotlivce, aniž by bylo nutno vědět, o koho přesně jde. Slouží k tomu různé klíče a kódování.
Vedení záznamů
Správci údajů od května nebudou muset plnit takzvanou oznamovací povinnost u Úřadu pro ochranu osobních údajů (ÚOOÚ) před zahájením zpracování těchto údajů. Nově ale budou muset vést záznamy o veškeré činnosti, která se zpracováním údajů souvisí.
Pověřenec pro ochranu osobních údajů
Zejména do korporátního života vnáší GDPR novou funkci nezávislého kontrolora, pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). Jeho hlavním úkolem bude monitorovat soulad zpracovávání osobních údajů s povinnostmi, které z GDRP vyplývají. Dále bude pověřenec provádět interní audity, školit pracovníky a starat se o celou agendu vnitřní ochrany dat.
Nahlášení zcizených dat
Každé závažné porušení ochrany osobních údajů, každé odcizení dat i každý neoprávněný přístup k těmto datům budou správci povinni ohlásit nejpozději do 72 hodin. Nemělo by se tedy již stávat, že se o takových kauzách masivního úniku osobních dat dozvídáme až po několika letech.
Držte klíč ke správnému zpracování dat a jejich bezpečnosti ve svých rukou Narazíte-li v souvislosti s některou z těchto povinností na nějakou nejasnost, neváhejte se na nás obrátit. Rádi vám poradíme.