Už jsme si zvykli nakupovat v pohodlí domova prostřednictvím internetu. Přijde nám proto samozřejmé, že naše osobní data, která internetovému obchodu sdělíme, e-shop nějakým způsobem ve svém informačním systému chrání. Nikdo totiž netouží být například kontaktován nevyžádaným telefonátem s nabídkou, o kterou nestojíme nebo dostávat desítky e-mailů – spamů. Nebo dokonce splácet úvěr, o který jsme nikdy nežádali. Proto byl také na základě zákona č. 101/2000 Sb. o ochraně osobních dat zřízen Úřad pro ochranu osobních údajů se sídlem v Praze (ÚOOÚ), u kterého mají všechny e-shopy povinnost se registrovat. A vlastně se tato povinnost netýká pouze internetových obchodů, ale všech subjektů, které zpracovávají při výkonu své činnosti osobní data lidí – lékaři, banky, pojišťovny, mobilní operátoři, majitelé kamerových systémů, sociální sítě a další.
Co jsou to osobní údaje?
Osobním údajem může být jeden nebo i více údajů, které společně umožňují určit konkrétní osobu. Mezi tato data patří hlavně adresní a identifikační údaje – tedy jméno, adresa, datum narození či rodné číslo, telefon nebo emailová adresa, číslo občanského průkazu a pasu apod. Jedná se o data, která by měla zůstat třetím stranám utajená, a nakládání s těmito údaji by mělo být vzhledem k právu na soukromí omezováno – viz zákon o ochraně osobních údajů. Od května 2018 budou dokonce platit nová a v něčem přísnější pravidla pro zpracování osobních údajů podle tzv. GDPR nařízení, což je Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
GDPR nařízení – větší důraz na zabezpečení osobních údajů
Co je GDPR nařízení? Je to nová evropská úprava ve zpracování osobních údajů, která bude pro podnikatele v rámci celé EU znamenat důraz na větší zabezpečení osobních údajů, například šifrováním. A také samozřejmě více povinností. Přináší s sebou ale také vyšší sankce za nedodržování stanovených pravidel. V současné době může Úřad pro ochranu osobních údajů uložit pokutu až do výše 10 milionů korun. Od května 2018 by podle GDPR mohla sankce vyšplhat až na závratných 20 milionů EUR, což je v přepočtu asi 550 milionů korun.
Smyslem nového nařízení je posílit úroveň ochrany osobních údajů a soukromí jakožto základního lidského práva. Na základě GDPR nařízení budou muset podnikatelé provést revize již udělených souhlasů a způsobů, kterými osobní data zpracovávají.
Povinnost vést evidenci
Nově bude muset muset každý, kdo osobní údaje zpracovává, vést povinně jejich evidenci, vč. vyhodnocení rizik, a na požádání ji předložit ke kontrole ÚOOÚ. Této povinnosti by se ale měli vyhnout podnikatelé, kteří nezaměstnávají více než 250 zaměstnanců – ovšem jen pokud jejich hlavní činnost činnost nezahrnuje zpracování citlivých údajů nebo není nakládání s nimi prováděno ve velkém rozsahu.
Další povinností větších firem bude jmenování tzv. pověřence pro ochranu osobních údajů, který bude dohlížet na dodržování nařízení a spolupráci s ÚOOÚ. Pověřencem může být zaměstnanec firmy, ale také externí pracovník, se kterým podnikatel uzavře smlouvu o poskytování služeb.
Hlásit úniky dat bude povinné
Během posledních let došlo k několika významným únikům osobních údajů, a to nejen v zahraničí, ale také u nás – v České republice. Většinou se jednalo o zcizení přístupových údajů nebo dat pro marketingové účely. Proč právě pro ně? Protože prostřednictvím cíleného marketingu lze ovlivňovat uspokojování potřeb lidí. Pokud by k úniku dat došlo v budoucnu, musel by podle nového nařízení GDPR podnikatel povinně takový incident ohlásit Úřadu pro ochranu osobních údajů. Samotným dotčeným lidem by pak musel správce incident nahlásit, pokud by se dalo předpokládat, že únik dat může ohrozit jejich práva a svobody.
Proč je dobré mít datový audit evidence osobních údajů
Sankce, které pramení za nedodržování nařízení GDPR jsou opravdu velmi vysoké a pro mnohé firmy i likvidační. Proto je dobré, aby byly firmy na květen 2018 dobře připraveny. V první řadě by se měly se seznámit se zněním nařízením GDPR česky a zjistit si, které paragrafy se na ně vztahují. Pokud zjistí, že na ně nařízení platí v plném rozsahu, je nutné zapracovat na odpovídajícím kodexu, ustanovit pověřence, a uvést do běhu procesy a systémy – tuto odpovědnost totiž není možné přenést na žádného dodavatele služeb.
Odborná konzultace, GDPR datový audit, audit kodexu ochrany osobních údajů nebo komplexní GDPR audit provedené speciální odbornou ICT firmou, pomohou nastavit firemní datové systémy tak, aby dostály liteře zákona a vyhnuly se ze zákona plynoucím sankcím. Poskytuje je například Asociace za lepší ICT řešení, což je obecně prospěšná společnost, která pomáhá firmám a institucím k lepšímu řešení jejich potřeb prostřednictvím ICT technologií. Kromě toho na svých webových stránkách Asociace přináší stále aktualizovaný přehled GDPR-ready dodavatelů informačních systémů a také firem, které umí nabídnout pomoc se splněním požadavků nového GDPR nařízení.