25. května 2018 vejde v platnost nové nařízení o ochraně a regulaci dat, neboli General Data Protection Regulation (GDPR).

Pokud zpracováváte osobní data (např. zákazníků) je velmi pravděpodobné, že se vás nové nařízení bude dotýkat. Zpracováním osobních dat nařízení rozumí jakékoliv operace nebo soubor operací s osobními údaji, které jsou prováděny s pomocí či bez pomoci automatizovaných procesů.

Tento článek vám může pomoct GDPR pochopit, identifikovat požadavky a nalézt řešení.

Regulace a ochrana dat se týká každé organizace a firmy v Evropské unii, která používá osobní data. Stejně tak se dotkne každé firmy, která v EU podniká. V mimořádných případech mohou pokuty dosáhnout až 20 milionů euro (540 milionů korun) či 4 procenta z obratu firmy.

Hlavní znaky GDPR

  • Je jednotně aplikovatelné v celé EU
  • V případě rozsáhlých zpracování požaduje jmenování DPO (Data Protection Officer – pověřenec za ochranu osobních údajů)
  • Při rizikových zpracováních požaduje provedení DPIA (Data Protection Impact AssessmentPosouzení vlivu na ochranu osobních údajů) a případně též konzultaci s ÚOOÚ (úřad pro ochranu osobních údajů)
  • Posiluje práva subjektů údajů a zakládá práva nová – právo být zapomenut, právo na portabilitu apod.
  • Přináší nepoměrně vyšší sankce za porušení ochrany osobních údajů

Co považuje GDPR za osobní údaje?

Do kategorie obecných, kde vyjma klasických osobních údajů jako je jméno, pohlaví, datum narození, věk, atp., řadí GDPR také IP adresu, fotografii, ale i e-mailovou adresu telefonní číslo. Samostatnou kapitolou jsou pak citlivé osobní údaje (biometrické, genetické,…), které podléhají mnohem přísnějšímu režimu.

JAK na GDPR?

V souvislosti s výše uvedeným nařízením a z něj vyplývajících povinností je potřebné provést analýzou toho, co spadá ve vaší organizaci pod GDPR. Na základě analýzy nasadit příslušná opatření a řešení, a to individuálně s ohledem na vaše podnikatelské prostředí. Samotná analýza poslouží nejen jako základ pro zavedeni nových standardů plynoucích z GDPR, ale současně poodhalí i potenciální zranitelnost IT prostředí, která může výrazně ovlivnit vaši celkovou úroveň ochrany dat.

Srovnávací analýza a plán dosažení souladu s GDPR

Srovnávací analýza a sestavení Plánu dosažení shody s GDPR jsou první kroky, které organizace na cestě k dosažení shody potřebuje provést.  Srovnávací analýza dává odpověď na otázku, kde jsou nedostatky v plnění požadavků GDPR a Plán dosažení shody s GDPR je jízdní řád, který organizaci dovede do cíle.

Posouzení vlivu na ochranu osobních údajů

Posouzení vlivu na ochranu osobních údajů je druhým krokem, který kromě naplnění povinnosti takovéto posouzení zpracovat, umožňuje posoudit zpracování osobních údajů a plánovaná opatření z pohledu skutečných rizik.

Návrh změnu procesů

Změny procesů jsou třetím krokem k dosažení shody s požadavky GDPR, přičemž prováděné změny procesů vycházejí z předchozích analytických fází a informací o neshodách s požadavky GDPR během nich zjištěných. Mezi nové či změněné procesy z pohledu GDPR jsou pořizování, odstraňování, změna či přenos osobních údajů, hlášení incidentů a další.

Návrh ICT opatření

Návrh ICT opatření je klíčovým krokem umožňujícím ICT oddělením přijímat taková opatření a implementovat technologie takovým způsobem, že budou mít jistotu o jejích přínosu k dosažení cíle, kterým je shoda s GDPR. Mezi klíčové oblasti, kterými se během návrhu opatření zabýváme, jsou ukládání dat a zálohování dat, monitorování a logování, sítě, mobilní zařízení, fyzická bezpečnost infrastruktury, antivirová ochrana a další…

Outsourcing role pověřence

Jako součást implementace GDPR je nezbytné rozhodnout o roli Pověřence pro ochranu osobních údajů, tedy o tom kdo bude ochranu osobních údajů řídit a současně ponese za tuto oblast odpovědnost.

V případě, že budete mít zájem o poskytnutí dalších informací, neváhejte nás kontaktovat…

Zdroj: eset.cz, tmcoy.cz, gdprcompliance.eu, gdpr.cz