Rok zbývá do účinnosti nového Nařízení o ochraně osobních údajů

Za rok, 25. května 2018, vejde v účinnost Nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR). To znamená zavedení nových opatření ve všech společnostech, které jakýmkoliv způsobem nakládají s osobními údaji občanů Evropské unie. Pro některé firmy to bude znamenat i restrukturalizaci celé IT architektury, proto by se měly na účinnost Nařízení začít připravovat již nyní. Zároveň Nařízení významně posiluje práva lidí coby subjektů údajů.

Nařízení o ochraně osobních údajů upravuje nové principy práce s osobními údaji. Výrazně posiluje odpovědnost správce, tedy organizace, které jsou osobní data svěřena. Nařízení platí pro všechny subjekty, které nakládají s osobními údaji občanů Evropské unie, mezi ty patří firmy, neziskové organizace ale například i nemocnice atd. Správci osobních údajů budou zodpovědní za správné zacházení s osobními údaji nejen ve své společnosti, odpovědnost s nimi budou sdílet i ti, kteří pro ně osobní údaje zpracovávají. Musí osobní údaje zabezpečit tak, aby eliminovali riziko jejich úniku, znehodnocení či ztráty.

Podle průzkumu Svazu průmyslu a dopravy ČR, který realizoval na konci roku 2016, však téměř 60 % firem není o novém Nařízení informováno a není na jeho účinnost ani technicky připraveno. Přitom kolem 50 % firem udává, že při své práci s citlivými osobními daty pracuje. Svaz průmyslu a dopravy proto ve spolupráci s MPO a dalšími partnery připravuje pro společnosti a další subjekty, správce dat, sérii 11 školení, které jim metodicky pomohou lépe se na vstup Nařízení připravit.

Nakládání s osobními údaji by mělo být ve společnostech prioritním tématem

Osobní údaje budou nově požadovány a dále zpracovávány a uchovávány jen ke konkrétnímu účelu a po dobu nezbytně nutnou. To znamená, že například podnik bude uchovávat osobní údaje lidí pouze po dobu, po kterou jsou jeho zákazníky. Následně musí dojít k likvidaci dat. V případě, že zpracování údajů není nutné například z důvodu zákonné povinnosti, plnění uzavřené smlouvy, ochraně životně důležitých zájmů subjektů údajů nebo k němu subjekt nedal svolení, jedná se o zpracování nezákonné. Zakázáno je také poskytnutí osobních údajů třetí osobě bez souhlasu subjektu údajů. Za porušení povinností vyplývajících z nařízení hrozí vysoké pokuty až do výše 4 % celosvětového obratu firmy nebo 20 milionů Euro.

Z výše uvedených novinek vyplývá, že společnosti si musí provést kompletní revizi způsobu práce s osobními daty a jejich zpracováváním a nakládáním na všech firemních úrovních a ve všech systémech. Musí se zaměřit i na datovou architektu a zařadit téma ochrany osobních údajů mezi prioritní témata v chodu organizace. 

„Ochrana osobních údajů je v jednadvacátém století jedním z naprosto zásadních témat. Inovovat stará pravidla tak bylo určitě potřeba, protože právo na ochranu soukromí je nutné dodržovat i v online prostoru. A firmy všech velikostí musí mít o pravidlech jasno, aby mohly bez obav rozvíjet svůj business kdekoliv v Evropě,“ uvedl Ondřej Malý, koordinátor digitální agendy ČR.

Některé podniky navíc musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii bezprostředně spadat pod vedení firmy. Pokud společnosti budou zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně.

„Pojetí ochrany osobních údajů můžeme přirovnat k bezpečnosti o ochraně zdraví při práci. Zde jde o ochranu osobních údajů ve všech systémech a procesech firmy. Pokud by došlo k porušení ochrany osobních údajů, podnik bude muset dokázat, že postupoval v souladu s nařízením a pro ochranu dat udělal vše, co bylo v jeho silách,“ vysvětluje Milena Jabůrková, členka představenstva SP ČR.

Díky Nařízení o ochraně osobních údajů dojde i k posílení práv subjektů osobních údajů

Každý nositel osobních údajů má právo na poučení o svých základních právech a informaci o době a účelu, ke kterému jsou jeho data zpracována. Každý člověk bude mít možnost na svou žádost dozvědět se, jaké údaje jsou o něm zpracovávány. Kromě těch, jež poskytl písemně, totiž mohou být v průběhu času zpravována například jeho data o pohybu, chování na internetu a podobně. Pokud zjistí, že si společnosti o něm uchovávají špatná data nebo s nimi nesprávně nakládají, má právo požádat o nápravu nebo dokonce o výmaz.