Pokud nebude vaše firma vyhovovat předpisu GDPR, může v případě úniku dat obdržet pokutu až 4 % obratu nebo 20 milionů €! GDPR definuje osobní data jako informace, které se vztahují k jednotlivcům, čili subjektům. Což mohou být jakákoliv data nebo informace jako jsou například fotografie, email, adresa, bankovní účet a jeho detaily, posty na sociálních sítích, zdravotní informace nebo i web cookies či IP adresa připojení osobního počítače. Je to tedy poměrně široká definice toho co může vést k identifikaci jednotlivce. Oproti minulosti se záběr pojmu osobní a citlivé informace významně rozšířil.
Co je potřeba udělat, aby vaše firma nárokům GDPR vyhověla?
- V první řadě by se měl alespoň jeden z firemních managerů stát zodpovědný za přípravu firmy, aby zpracování a držení osobních a citlivých údajů bylo v souladu s legislativou GDPR. Měl by ale také odpovídat za to, že se i v budoucnu bude s osobními a citlivými daty nakládat podle nových pravidel. Nová legislativa totiž stanoví, že každá organizace, jejíž jádro činnosti zahrnuje "pravidelné a systematické sledování subjektů údajů ve velkém měřítku" nebo rozsáhlé zpracování "zvláštních kategorií osobních údajů" (stanovených právními předpisy), musí vytvořit pozici „pověřence pro ochranu osobních údajů“, někdy označovaného také jako Inspektor ochrany osobních údajů (DPO – Data Protection Officer). Je pak na vás, zda tuto pozici přiřadíte ve firmě do IT, marketingu, právního odd., nebo jinam.
- Prakticky budete muset zajistit, že máte jednak data v bezpečí, ale máte také dostatečně trvalou kontrolu nad tím, kdo a jak s daty zachází. GDPR navrhuje některá konkrétní opatření, jako jsou:
- Zajištění řádných procesů a kontrol nad tím, jak jsou důvěrná data klientů chráněna. Procesy musíte být schopni kdykoliv doložit.
- Údaje musí být anonymizovány a/nebo zašifrovány.
- Musíte být schopni v případě mimořádné události data a systém rychle obnovit.
- Vaši činnost pravidelně testujte a vyhodnocujte efektivitu svých opatření.
- Musíte zajistit, aby i vaši případní dodavatelé byli rovněž s GDPR kompatibilní. GDPR totiž na vás klade mnohem větší díl zodpovědnosti, než dřívější legislativa. Ujistěte se, aby každý dodavatel, se kterým při zpracování dat spolupracujete, řádně zajistil potřebnou důvěrnost údajů. Za své dodavatele skutečně zodpovídáte vy a případný incident bude váš velký problém!
- Musíte zajistit, aby vaši klienti s uložením a zpracováním jejich údajů výslovně souhlasili. A je rovněž důležité, aby mohli svůj souhlas jednoduchým způsobem odvolat. Budete muset být schopni prokázat, že vám byl souhlas udělen. To bude určitě pro mnoho firem významná změna, protože je málo pravděpodobné, že s tím v současnosti počítají. Důležité je také nové "právo být zapomenut" pro ty subjekty údajů, kteří chtějí, aby jejich data byla smazána.
- Budete muset být přesní a transparentní. V případě potřeby totiž budete muset jednoduchým jazykem klientům vysvětlit, o jaká jejich osobní data se jedná, jak dlouho je budete používat nebo uchovávat, a jak budou moci odvolat souhlas s poskytnutím či zpracováním dat. To pro vás bude znamenat, že pravidla ochrany soukromí, souhlasy ke zpracování aj. budete muset sepsat jednak jednoduchým jazykem ale budete muset také zajistit, aby obsahovaly veškeré požadované informace.
- Firmy jsou často zvyklé incidenty s úniky dat tutlat, co nejdéle je to možné. Po zavedení platnosti GDPR takové jednání už nebude tolerované. Případné úniky dat budou muset být úřadům hlášeny bez zpoždění max. do 72 hodin. To je opět pro firmy velká změna a proto budou muset zavést nové krizové postupy pro činnost pracovníků pro případ, kdy zjistí bezpečnostní incident spojený s únikem dat. Případná rizika můžete také zmírnit pojištěním kybernetických rizik. Prokonzultujte tuto možnost s vaší pojišťovnou.
- Od svých klientů, kteří budou chtít svých práv využívat, budou firmy či organizace čelit nárůstu požadavků na informace o rozsahu zpracování jejich osobních dat. Proto budete muset ve firmě zavést přísnější postupy, aby byly splněny předepsané zákonné lhůty na odpovědi. To bude vyžadovat také zvýšené nároky na spolupráci pracovníků a jejich kontrolu.
Co je tedy třeba konkrétně udělat?
Určitě zachovat chladnou hlavu a postupovat jako v případě jiných projektů, které metodicky a realizačně zvládáte.
- Seznámit management firmy s nároky GDPR. Nečekat se sestavením rozpočtu a alokováním pracovníků, které budete potřebovat. Rovněž určit managera, který bude za celý projekt procesu implementace GDPR ve vaší firmě zodpovědný.
- Připravit analýzu, která pomůže pochopit, jaké osobní a citlivé údaje vlastně firma zpracovává, kde všude je má, kdo všechno se na jejich zpracování podílí a jaký je vlastně životní cyklus osobních a citlivých dat ve vaší firmě či organizaci.
- Na základě analýzy si sestavit konkrétní akční plán, co všechno budete muset udělat, aby vše bylo, jak GDPR vyžaduje.
- Nechte si vaše úpravy odsouhlasit vhodnou právní kanceláří.
Nová legislativa začne platit 25. 5. 2018.
Potřebujete vědět více?
Napište, nebo rovnou hned zavolejte!
Daniel Konečný (+420 601 574 358, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.)
Petr Moláček (+420 724 590 926, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.)