Soukromí a ochrana osobní údajů na prvním místě? Jednoduché to nebude

Michal Meliška, 03. červen 2017 11:30 0 komentářů
Soukromí a ochrana osobní údajů na prvním místě? Jednoduché to nebude

Když evropští zastupitelé v dubnu roku 2016 přijímali nařízení, kterým se zásadně mění způsob nakládání osobními a citlivými údaji, pravděpodobně nikdo ještě ani přesně netušil, jak hluboké dopady a zásadní změny přinese. Ano, řeč je o Obecném nařízení na ochranu osobních údajů - General Data Protection Regulation, často také krátce označovaném jen jako „GDPR“ nebo zde také jen „Nařízení“.

Přestože článků o samotném Nařízení, jeho předpokládaných dopadech, opatřeních, zaváděných povinnostech nebo sankcích, které hrozí v případě porušení, bylo již napsáno mnoho, doba na realizaci všech opatření zajišťujících shodu se krátí úměrně tomu, jak se přibližuje datum jeho účinnosti v květnu 2018. A proto, i když na realizaci všech vyplývajících požadavků zbývá stále ještě více než jeden rok, pojďme si pro správné uchopení připomenout klíčová fakta o GDPR, tedy zejména:

  • kdy a proč je třeba se Nařízením zabývat,
  • koho se týká a na koho dopadne,
  • jaké hlavní povinnosti a požadavky zavádí.

V sérii navazujících článků a rozhovorů s předními odborníky na problematiku ochrany dat, resp. osobních a jiných citlivých údajů se poté budeme podrobně zabývat dílčími oblastmi dopadů GDRP a na konkrétních příkladech si také ukážeme možnosti a přístupy k jejich řešení včetně souvisejících technologií a služeb.

Samotné Nařízení je přímo účinné od 25.května 2018, a to ve všech členských státech Evropské unie bez ohledu na to, zda v dané době a zemi bude přijata dílčí či úplná transpozice Nařízení do národní legislativy.

V GDPR zkrátka platí – přijato bylo všemi ústředními orgány Evropské unie, tedy Evropskou komisí, radou i parlamentem, v platnost vešlo v průběhu května loňského roku a nyní je již v plném proudu dvouletá lhůta pro plánování a realizaci všech aktivit na zajištění souladu s jeho požadavky. V České republice je například z důvodu adaptace na požadavky Nařízení očekávána zásadní novelizace zákona na ochranu osobních údajů, resp. je připravován zákon zcela nový. Dále se také v důsledku GDPR bude velmi pravděpodobně měnit celá řada souvisejících zákonů jako například zákoník práce či legislativa a předpisy v oblasti zdravotnictví a poskytování zdravotnických služeb.

GDPR představuje ten typ Nařízení, jež může být s trochou nadsázky označeno za „třaskavé“. Přesněji řečeno jde o ten typ opatření, které má značný potenciál zásadně ovlivnit nebo zcela změnit zaběhlé postupy a opatření v oblasti ochrany dat, správy a zpracování osobních údajů. Poměrně zásadním způsobem také rozšiřuje rozsah toho, co může být považováno za osobní údaje a tím pádem podléhat požadavkům tohoto Nařízení. Ptáte-li se na tomto místě proč takové opatření vlastně potřebujeme? Ptáte se dozajista správně.

Zcela ústředním motivem, který se nese celým Nařízením včetně navazujících doporučení (tzv. Article 29 Working Party Guidelines), je zajištění účinné ochrany osobních údajů všech občanů Evropské unie, zejména s ohledem na zcela nové výzvy a rizika vyplývající z fungování digitální ekonomiky 21.století. Zároveň se GDPR stává jednotným nástrojem pro efektivní vymahatelnost ochrany soukromí každého z nás bez ohledu na to, zda žijeme v České republice, Německu či jiném státě Evropské unie. Celé Nařízení je koncipováno navíc tak, že v jeho středu stojí skutečně samotný subjekt údajů – tedy každý z nás jako občan Evropské unie. Všechna opatření vyplývající z požadavků GDPR tak budou muset realizovat i subjekty, organizace a společnosti pocházející ze zemí mimo Evropskou unii, ale které nabízejí své zboží či služby na území EU nebo v těchto evropských zemích alespoň monitorují chování zákazníků. Jde tedy například i o globální společnosti původem ze Spojených států amerických, japonské či korejské automobilky, čínské cestovní agentury nebo farmaceutické a logistické společnosti působící na evropském trhu a mnoho dalších.

Cílem Nařízení je také významným způsobem přispět k fungování jednotného evropského digitálního trhu jako zásadního prvku rozvoje dlouhodobé konkurenceschopnosti a digitální ekonomiky v Evropě. Jaké jsou tedy hlavní oblasti změn a požadavků, které GDPR oproti stávající úpravě ochrany osobních údajů přináší?

Rozšíření definice osobních údajů

Z důvodů rozšíření definice osobních údajů bude pro organizace vždy nejprve velmi důležité zmapovat, s jakými daty pracuje a provést jejich klasifikaci a kategorizaci. Takové zmapování výsledně poskytne představu o tom, kterými daty se musí společnost skutečně zabývat a na jak velkou oblast její činnosti GDPR dopadne. Nařízení zavádí také zcela novou oblast osobní údajů vyplývajících z možnosti tzv. nepřímé identifikace, kam mohou spadat například zaměstnanecká identifikační čísla, síťové identifikátory, lokační údaje nebo jeden či více zvláštních prvků fyzické, psychické, genetické, ekonomické, kulturní či ekonomické identity dané fyzické osoby.

Omezení možností shromažďování osobních údajů

Nově musí být údaje v podobě dat drženy pouze po dobu nutnou pro ukončení procesu, za jehož účelem byly přijaty a zároveň nesmí být využity k jinému než původnímu účelu bez souhlasu subjektu osobních údajů, tedy každého jednoho z nás.

Rozšíření povinností správce a zpracovatele osobních údajů

Tato rozšíření se týkají se například nutnosti zavedení interních pravidel pro práci s osobními údaji, školení zaměstnanců a stálého monitoringu využívání dat zpracovatelem ze strany správce. Správce bude muset být na zpracovatelích schopen vymoci naplnění požadavků na práci a využívání dat (viz také výše předchozí omezení možností shromažďování), jako například „práva být zapomenut“, které musí být v případě požadavku ze strany subjektu osobních údajů realizováno i u všech zpracovatelů.

Vysoké sankce za porušení Nařízení

Konkrétně může dozorový orgán v případě porušení souladu ochrany osobních údajů s požadavky Nařízení udělit správci nebo zpracovateli pokutu ve výši až 20 mil. EUR nebo 4% v celosvětového obratu společnosti za předchozí finanční rok.

Zajištění souladu prostřednictvím opatření organizačního a technického charakteru

Při posuzování vhodnosti opatření na zajištění souladu s Nařízením musí být aplikován přístup zohledňující rizikovost zpracovávaných údajů a případný dopad na subjekty údajů v případě jejich úniku. Posuzování dopadu na subjekty údajů je pak nutno provádět při každém zavedení nového procesu, který využívá osobní údaje a mohl by být případným potenciálním rizikem.

Povinnou roli tzv. pověřence na ochranu osobních údajů

Každá společnost a organizace, která spadá do působnosti Nařízení musí také zajistit roli tzv. pověřence na ochranu osobních údajů. Takový zaměstnanec, popř. tuto roli lze také zajistit externími službami, musí mít expertní znalost ochrany osobních údajů včetně praxe, být nezávislý z hlediska zpracovávání osobních údajů v dané společnosti a bude dohlížet mj. na dodržování souladu s požadavky Nařízení, informovat a poučovat o závazcích vyplývajících z Nařízení a předpisů souvisejících s ochranou osobních údajů a v neposlední řadě bude také zajišťovat spolupráci a komunikaci s dozorovým úřadem.

Na první pohled je nyní zcela jistě zřejmé, že realizace technických a organizačních opatření potřebných k naplnění souladu s požadavky GDPR včetně uvážení rizika významných sankcí, nebude ani rychlá ani snadná. Na druhou stranu, jde o soukromí a ochranu dat každého z nás, a je proto naprosto nezbytné, abychom přípravě na účinnost Nařízení v květnu roku 2018 věnovali náležitou pozornost a na tuto zcela zásadní změnu ochrany osobních údajů se velmi dobře připravili.

Autor je GBS managing consultant ve společnosti IBM.


Komentáře

RSS 

Komentujeme

Kradená auta: Další úkol pro bezpečnostní kamery

Pavel Houser , 16. srpen 2017 06:30
Pavel Houser

Bezpečnostní kamery, které hledají ukradená vozidla nebo mají za úkol vozidlo jednoznačně identifiko...

Více






Kalendář

24. 08. Webinář Synology - DSM 6.1 - Virtual Machine Manager
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Lenovo ve ztrátě, k zisku se má vrátit do 2 let

ČTK , 19. srpen 2017 10:12

Firma nevylučuje zdražení svých výrobků, aby udržela ziskové marže....

Více 0 komentářů

Generální ředitel Infosysu nečekaně rezignoval

ČTK , 19. srpen 2017 09:30

Od doby, co Sikka nastoupil do čela firmy, akcie stouply o více než pětinu....

Více 0 komentářů

Irsko odmítá požadavek EU, aby od Applu zpětně vybralo daně

ČTK , 18. srpen 2017 13:00

Jednání Applu údajně nebylo v rozporu s legislativou Irska ani Evropské unie....

Více 5 komentářů

Starší zprávičky

Ericsson zvažuje, že propustí až 25 000 zaměstnanců

ČTK , 18. srpen 2017 09:00

Švédská firma se v poslední době potýká se slábnoucí poptávkou ze strany telekomunikačních operátorů...

Více 0 komentářů

Alibaba téměř zdvojnásobila zisk, růst tržeb překonal odhady

ČTK , 18. srpen 2017 08:00

Alibaba, která patří k nejhodnotnějším firmám v Asii, profituje z rostoucích on-line nákupů čínských...

Více 0 komentářů

Telekomunikační úřad se chystá regulovat mobilní trh

ČTK , 17. srpen 2017 14:34

Přetrvává velký rozdíl mezi vyššími cenami pro domácnosti a nižšími cenami pro firmy, který dosahuje...

Více 0 komentářů

ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně ban...

Více 0 komentářů