GDPR? Chraňte osobní údaje nebo zaplatíte astronomické sankce!

Zaklínadlo GDPR se začíná skloňovat napříč všemi médii. Ustává humbuk kolem EET a je potřeba osvětlit nový pojem, který se váže k pravděpodobně ještě náročnějším opatřením než zmiňované EET.


GDPR je zkratkou pro „General Data Protection Regulation“.Volně přeložitelné jako Obecné nařízení na ochranu osobních údajů. Jde o nové nařízení EU, které je bylo přijato již v dubnu  roku 2016 a v účinnost vejde 25. 5. 2018. Zásadně ovlivňuje problematiku kolem práce a ukládání osobních údajů s cílem chránit občany EU proti neoprávněnému zacházení s jejich osobními údaji. Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů.

„Řada společností žije v naivitě, že i když mají pár zaměstnanců, tak se jich to netýká, což není pravda. GDPR se skutečně týká všech společností, které mají nějaké zaměstnance, anebo pokud OSVČ pracuje pro řadu jiných firem, které jí posílají a sdílí údaje svých klientů. Z mého pohledu se GDPR týká každého, jen v jiném rozsahu,“ prohlašuje Eva Škorničková, zakladatelka GDPR.cz

Období mezi schválením a nabytím účinnosti je určeno pro přípravu na rozsáhlé úpravy v oblasti práce s osobními údaji. Ti, kterých se nařízení týká, by v tomto období měli zrevidovat aktuální stav, zanalyzovat, jak s osobními údaji pracují a kde všude je mají uloženy. Mnoho z nich to, i když již uběhla více než polovina z přípravné doby, nereflektuje nebo ani nezaregistrovali, že je nějaká příprava potřebná či ještě hůře vůbec nepostřehli existenci nařízení.  

Správci a zpracovatelé osobních údajů mají za úkol provést technická, organizační a procesní opatření vedoucí k ochraně údajů dle GDPR. Mimo jiné musí implementovat záměrnou a nezbytnou ochranu dat, určit osobu, která se stane pověřencem pro ochranu osobních dat, musí zavést pseudonymizaci údajů, vést záznamy o zpracování a vše konzultovat s dozorovým orgánem ještě před zahájením zpracování údajů. Hlubším rozebráním povinností se budeme zabývat v dalších článcích.

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační. Maximální výše sankcí je astonomických 20 miliónů EUR nebo 4% z celkového ročního obratu společnosti (platí vyšší z obou možností) a výše pokuty nezávisí na velikosti společnosti, takže stejnou pokutu může dostat společnost s pěti i pěti tisíci zaměstnanci. Výše sankce závisí na mnoha faktorech jako je povaha ohrožených dat, míra ohrožení a počet poškozených, délka porušování vyhlášky atp. Kromě oficiálních sankcí z GDPR mohou společnosti čelit také žalobám a žádostem o kompenzaci ze strany poškozených osob.

Důležitou informací pro správce osobních údajů také je, že pokud dojde k jejich ohrožení a úniku dat s vysoký ohrožením, vzniká povinnost do 72 hodin incident nahlásit dozorovému orgánu. Pro online společnosti a e-shopy je důležitá také informace, že se změní systém schvalování se zpracováním osobních údajů. Ten kdo vám citlivé údaje svěřuje, bude muset přesně vědět k jakému účelu svá data poskytuje.

Celé nařízení je velmi složité a rozsáhlé, v dalších článcích se budeme snažit osvětlit vám jednotlivé nástrahy a povinnosti, které vás s GDPR čekají. Součástí technického řešení ochrany osobních dat je také kybernetická bezpečnost, kterou se zabýváme. Je důležité mít data správně zabezpečena a šifrována, aby se k nim nedostaly nepovolané osoby. Je také nutné pracovat s daty v zabezpečeném prostoru a mít jistotu, že nejste sledováni či odposloucháváni konkurencí. Nabídneme vám také služby nezávisleho Pověřence pro ochranu osobních údajů. Rádi vám poskytneme potřebné rady v rámci našeho poradenství a součinnost pro přípravu ideálních podmínek odpovídajících bezpečné práci s osobními daty dle GDPR.

Zajímají-li vás podrobnosti, něčemu nerozumíte nebo potřebujete jakékoli jiné informace, obraťte se na nás. Rádi poradíme a budeme se individuálně věnovat vašim potřebám a dotazům.