V lednu letošního roku Evropská komise uveřejnila drafty směrnic Network and Information Security (NIS) a European General Data Protection Regulation (GDPR), které by měly nahradit doposud platná nařízení Data Protection Directive. Nová EU směrnice má nastoupit místo původní direktivy 95/46/EC, která byla od roku 1995 součástí EU zákonů o ochraně soukromí a lidských práv. Cílem nové iniciativy je harmonizace zákonů na ochranu osobních dat napříč všemi 27 členskými státy EU. To, že se jedná o „regulaci“ a ne o „direktivu“, znamená, že tato nová legislativa může být implementována v jednotlivých státech okamžitě po schválení Evropským parlamentem.
Koho se GDPR bude týkat
Směrnice NIS v zásadě žádné velké změny nepřináší a odbývá se tedy v intencích našeho Kybernetického zákona. Na rozdíl od směrnice NIS, která je určena především pro subjekty poskytující služby v kritické infrastruktuře státu, GDPR ale zasáhne vesměs všechny společnosti bez rozdílu vah.
- Je platná pro každou organizaci nabízející zboží nebo služby v rámci členských států EU a manipulující s osobními údaji subjektů IT.
- Bezpečnostních opatření musí být implementovány do technických a organizačních procesů a postupů již od počátku jejich přípravy.
- Za ochranu dat je zodpovědný celý dodavatelský řetězec.
Fakticky to znamená, že organizace by měly shromažďovat a zpracovávat pouze nezbytné informace sloužící k danému účelu. Po zpracování by data měla být smazána či jinak zlikvidována. Ochrana osobních údajů by měla být zahrnuta do všech firemních procesů a systémů. To znamená, že by měla být bezpečnost brána v potaz například již od počátku vzniku informačního systému. Za ochranu dat je zodpovědný celý dodavatelský řetězec od výrobce po dodavatele k zákazníkům. Nebude tedy možné přenášet zodpovědnost za zabezpečení osobních dat klientů například na dodavatele. Znamená to, že firmy budou muset kontrolovat i své partnery, zda osobní údaje dostatečně zabezpečují.
Jaké změny to přinese
Jednou z hlavních změn je také způsob uvedení tohoto nařízení mezi členské státy EU, aby bylo dosaženo jednotného působení napříč celé EU. Tím by se měly odstranit dnešní nejasnosti, jaké právní předpisy platí v dané členské zemi EU. Toto nařízení bude členským státům definovat přesné požadavky pro ochranu osobních údajů a nezbude již prostor pro národní výklady. Dojde tak k významnému posílení individuálních práv jednotlivců na ochranu osobních údajů včetně posílení rolí regulátorů a autorit v oblasti ochrany osobních dat. Díky zjednodušení nutné administrativy, která hlášení bezpečnostních narušení doprovází, dojde údajně k úspoře až 2,3 miliardy €.
Klíčové změny v reformě
Nařízení přinese sadu Jednoduchých pravidel pro ochranu dat, které budou platné napříč celou EU. Tato pravidla především zahrnují:
- Právo být zapomenut – pokud jednotlivec již nechce, aby se jeho data dále z nějakého důvodu zpracovávala, má právo požadovat po zpracovateli, aby data byla smazána. Organizace musí doložit legitimní důvod, proč data shromažďují a uchovají. Zejména internetoví uživatelé musí ke zpracování svých dat dát explicitní souhlas. Musí rovněž vědět, jakým způsobem budou jejich data pracovávána a jak dlouho budou uložena.
Předkladatelé tvrdí, že je to kvůli ochraně osobních údajů jednotlivců, ale nemá to omezovat například svobodu tisku nebo deformovat informace o minulých činech. - Jednodušší přístup k osobním datům - jednotlivci budou mít více informací o tom, jak jsou jejich údaje zpracovávány. Tyto informace by měly být přístupné jednoduchým a srozumitelným způsobem. Právo na přenositelnost údajů bude jednotlivcům usnadňovat například přenos dat mezi poskytovateli konkurenčních služeb.
- Právo vědět o narušení bezpečnosti dat - Firmy a organizace mají povinnost oznamovat u svých národních dohledových autorit narušení bezpečnosti dat, která mohou ohrozit soukromí jednotlivce. Po narušení bezpečnosti dat musí neprodleně (nejpozději do 24 hodin) zahájit komunikaci s ohroženými subjekty, aby tyto mohly podniknout příslušná opatření, jako je třeba změna hesla apod. Účelem je také zvýšit zodpovědnost firem za zpracovávané osobní údaje a zvýšit součinnost s poškozenými subjekty při zmírňování škod.
- Ochrana dat by design and by default - Tento bod požaduje po zpracovatelích dat, aby bezpečnostní principy a požadavky zahrnuli do vývoje svých řešení, produktů a služeb. Základními principy jsou především - Anonymizace/ Pseudonymizace/ kryptování dat. Tyto normy by se měly dodržovat při přípravě služeb například sociálních sítí nebo při vývoji mobilní aplikace.
- Posílení role státní regulační autority - Za porušení nařízení může firmám hrozit pokuta od národní autority až 4% jejích celosvětového obratu nebo 100 milionů €.
- Pozice inspektora ochrany dat - Ve firmách nad 250 zaměstnanců by měla být povinně zřizována pozice Inspektora ochrany dat. Takový člověk by se měl ochranou dat ve firmě zabývat na celý úvazek. Firmy s nižším počtem zaměstnanců (SME) nebudou muset tuto pozici vytvořit, pokud však nepracují se specifickými daty a jejich velkými objemy, která by takový speciální dozor vyžadovaly. Doporučuje se externí spolupráce s konzultanty.
Navržený draft s pravidly o ochraně osobních údajů musí být schválen jednotlivými státy EU a ratifikován Evropským parlamentem. Dá se očekávat, že tato směrnice by měla začít platit od konce roku 2017.
Další informace o připravované legislativě najdete ZDE:
Petr Moláček, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.