Už jen 330 dní zbývá do chvíle, kdy začne platit nové nařízení o ochraně dat a osobních údajů se zkratkou GDPR (General Data Protection Regulation). Evropská unie chce nařízením zvýšit práva spotřebitelů a sjednotit praxi mezi členskými státy, jak nakládat s citlivými osobními údaji. Těchto dat firmy díky internetu a analytickým nástrojům shromažďují stále více.

Na GDPR by se měly firmy podle odborníků už začít intenzivně připravovat, protože za jeho porušení hrozí velké pokuty. Ty mohou dosáhnout až 20 milionů eur (530 milionů korun) nebo čtyř procent z obratu společnosti za uplynulý finanční rok. GDPR se navíc podobně jako elektronická evidence tržeb EET dotkne téměř všech firem.

"Jde o důvěru v digitálním světě. Člověk se nemůže vzdát některých svých digitálních práv, protože se tak vzdává svého osobního života. GDPR bude mít velké nároky na profesionalitu," řekl na Akademii GDPR pořádané Svazem průmyslu a dopravy Josef Prokeš, ředitel právní sekce Úřadu na ochranu osobních údajů, který je v Česku garantem dodržování nařízení.

4 procenta

z obratu firmy za uplynulý finanční rok může být výše pokuty při porušení nařízení GDPR.

Jen nejnutnější data

GDPR začne být účinné od 25. května 2018. To znamená, že od té doby bude možné udělovat za porušení předpisu pokuty. "Nejenže se musí chránit citlivá data, při kontrole je nutné i dokázat, že se nařízení dodržuje. To obnáší například předložení dokumentace v písemné podobě," upozornil právník Jindřich Kalíšek z PRK Partners.

U citlivých dat musí být v dokumentaci popsán důvod, proč jsou údaje zpracovávány a k čemu se využívají. Firma by také měla zamezit shromažďování informací, které už nepotřebuje. "Nemělo by v databázi zůstat, že si někdo před dvaceti lety od společnosti koupil vrtačku," uvedl příklad Kalíšek. Další nároky budou dopadat na IT oddělení, která by měla přijít na způsob, jak sbírání osobních údajů o zaměstnancích, zákaznících či partnerech firmy minimalizovat a omezit na ty nezbytné. Případně jak je anonymizovat, aby se nedaly přiřadit ke konkrétnímu člověku.

Nová ochrana dat v kostce

Větší práva pro občany

Se startem evropského nařízení na ochranu dat evropští občané získají větší přehled o tom, jaká data o nich firmy nebo státní úřady shromažďují. Lidé také získají právo na bezplatné přenesení svých údajů nebo jejich výmaz z různých marketingových databází apod.

Firmy a úřady musí data lépe zabezpečit

Organizace musí přesně evidovat, kde jednotlivé osobní údaje skladují, a rovněž musí prokázat, zda je dostatečným způsobem zabezpečily. U velmi citlivých osobních údajů se doporučuje jejich šifrování nebo pseudonymizace, která zamezí tomu, aby byl konkrétní člověk podle těchto dat identifikován. Pokud dojde k úniku dat, musí ho organizace nahlásit státu do 72 hodin od zjištění incidentu.

Noví strážci údajů

Nařízení zavádí novou funkci – pověřence ochrany osobních údajů. Ten by měl ve firmě dohlížet na plnění pravidel GDPR. Nesmí se ale jednat o osobu, která s osobními daty běžně přichází do styku. Pověřencem tak nemůže být třeba šéf IT.

Podle Jana Kroba z poradenské společnosti KPMG je důležité, aby si firmy udělaly hloubkovou analýzu dopadů evropského nařízení. "Nemusí se vždy nasadit nový informační systém, aby se ochránila data. Stačí někdy jen zlepšit stávající zabezpečení," míní.

Krob uvádí tři fáze procesu, jimiž by si firma měla projít. V první má vzniknout analýza. Společnost musí určit, jaké prostředky do plnění GDPR chce investovat. V druhé fázi se navrhne řešení a vybere nejvhodnější varianta. Ve třetí dojde k samotné implementaci změn.

Menší firmy nemusí vlastnit drahý software, který by hromadně sbíral podrobné údaje o zákaznících či partnerech. "V jejich případě spíše půjde o lepší organizaci. Pokud máme excelovou tabulku s účetnictvím, zašle se sekretářce jen tabulka, ve které uvidí jen to, co potřebuje," doplnil právník Kalíšek.

Lidé mají také právo požádat o vymazání osobních údajů ze společnosti. Například z e-shopu, kde nakupovali. "Aby firmy neporušovaly GDPR, musí přijít na způsob, jak data vymazat i ze starých záloh. Kdyby se obnovila data po jejich poškození, informace o vymazaném člověku by se znovu nahrála," upozornil Daniel Joksch z IBM. V tomto ohledu se podle něj mění i právní praxe. Pokud měl někdo dříve pocit, že se zneužívají jeho osobní údaje, mohl firmu žalovat a soud rozhodl. Nyní ale přijde do společnosti zástupce Úřadu na ochranu osobních údajů a při kontrole bude chtít dokázat, že se se všemi daty zachází podle předpisů.

Klíčová osoba pověřence

Odborníci se také shodují na tom, že už teď by firmy měly vybírat pověřence, kteří budou na ochranu osobních dat ve firmě dohlížet. "Není proč otálet. Ideálně by měli být už u nasazování změn," míní Krob.

Pověřenci musí firmu znát zevnitř a zároveň musí mít dostatek nezávislosti, aby byli schopni prosadit změny či zatlačit na vedení společnosti, aby v nějakém směru zlepšilo ochranu dat. "Pověřencem nemůže být třeba vrátný v garáži. Ten sice zaměstnance zná a vede například evidenci, kdo přišel do práce. Otázka je, jak by se takový hlídač mohl bavit třeba s ředitelem a navrhovat změny. Tam může chybět ten požadavek nezávislosti," dodal Kalíšek.