Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU.
Evropské Obecné nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (anglicky General Data Protection Regulation, zkratka GDPR) zvyšuje ochranu osobních dat občanů EU a v praxi se bude týkat všech organizací, firem a podnikatelů. Proto je přehledné zpřístupnění českého textu nové normy i s jejími oficiálními výklady zvláště důležité.
Kompletní znění nařízení GDPR česky je k dispozici na jedné stránce i s oficiálními vysvětlivkami a komentáři: Asociace za lepší ICT řešení o.p.s.
Evropské nařízení GDPR nabývá účinnosti 25. května 2018 a pro většinu českých firem přináší nové povinnosti – ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, velké nebo střední firmy či malé domácí e-shopy. V případě závažného porušení nového zákona hrozí vysoké, až likvidační pokuty, a proto společnostem bez vlastního specializovaného právníka doporučujeme odbornou GDPR konzultaci či kompletní GDPR audit od certifikované autority. Spolu se zvýšením nároků na firemní dokumentaci, postupy a informační systémy, otevírá GDPR příležitost k celkovému vylepšení kybernetické bezpečnosti firem.
Co musí instituce dle GDPR nařízení dělat?
Nejprve zjistit, jaké paragrafy GDPR zákona se jí týkají, příp. co udělat, aby se některým požadavkům vyhnula. Pokud se na ní GDPR vztahuje v plném rozsahu, musí zavést odpovídající kodex, pověřence, procesy a systémy – tuto odpovědnost není možné delegovat na dodavatele služeb. Na druhou stranu je to ideální příležitost k celkovému vylepšení procesů, zvýšení bezpečnosti informačních systémů a automatizaci firmy. Nabízí se též souběžné dosažení shody a certifikace GDPR a kybernetické bezpečnosti.
Vzhledem k vysokým postihům za nedodržení směrnice GDPR doporučujeme společnostem bez vlastního specializovaného právníka odbornou konzultaci a GDPR datový audit, audit kodexu ochrany osobních údajů či kompletní GDPR audit od certifikované autority.
Kromě samotné ochrany (šifrování a ideálně anonymizace citlivých dat), musí instituce vědět, kde všude jsou obsaženy a být schopna pracovat s osobními údaji jako celkem. Kromě jiného musí být schopna:
- zobrazit uživateli přehled všech osobních údajů (dále OÚ)
- zpracovat žádost o opravu či výmaz OÚ
- zpřístupnit OÚ pro přenos a logovat veškeré přenosy osobních údajů
- přiřadit příznak omezení zpracování a blokovat OÚ v systému
- vytvořit a zpětně doložit průběh odsouhlasení, uložení, ochrany a likvidace osobních dat
Kdy je zanedbání ochrany osobních údajů trestný čin?
Zjednodušeně řečeno, když se podle zásad GDPR nebudete řídit nebo se o to alespoň maximálně snažit. (A nebudete schopni tuto snahu zpětně průkazně doložit, ideálně externím GDPR auditem či akreditovaným osvědčením.) Trestní odpovědnost se týká právnické osoby i osobně členů jejího vedení.
Na jaké situace se GDPR nevztahuje?
Nařízení se nevztahuje na zpracování osobních údajů prováděné:
- fyzickou osobou v průběhu výlučně osobních či domácích činností;
- státními orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů;
- členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;
- při výkonu činností, které nespadají do oblasti působnosti práva Unie.
Zdroj:
