Soukromí a ochrana osobní údajů na prvním místě? Jednoduché to nebude

Michal Meliška, 03. červen 2017 11:30 0 komentářů
Soukromí a ochrana osobní údajů na prvním místě? Jednoduché to nebude

Když evropští zastupitelé v dubnu roku 2016 přijímali nařízení, kterým se zásadně mění způsob nakládání osobními a citlivými údaji, pravděpodobně nikdo ještě ani přesně netušil, jak hluboké dopady a zásadní změny přinese. Ano, řeč je o Obecném nařízení na ochranu osobních údajů - General Data Protection Regulation, často také krátce označovaném jen jako „GDPR“ nebo zde také jen „Nařízení“.

Přestože článků o samotném Nařízení, jeho předpokládaných dopadech, opatřeních, zaváděných povinnostech nebo sankcích, které hrozí v případě porušení, bylo již napsáno mnoho, doba na realizaci všech opatření zajišťujících shodu se krátí úměrně tomu, jak se přibližuje datum jeho účinnosti v květnu 2018. A proto, i když na realizaci všech vyplývajících požadavků zbývá stále ještě více než jeden rok, pojďme si pro správné uchopení připomenout klíčová fakta o GDPR, tedy zejména:

  • kdy a proč je třeba se Nařízením zabývat,
  • koho se týká a na koho dopadne,
  • jaké hlavní povinnosti a požadavky zavádí.

V sérii navazujících článků a rozhovorů s předními odborníky na problematiku ochrany dat, resp. osobních a jiných citlivých údajů se poté budeme podrobně zabývat dílčími oblastmi dopadů GDRP a na konkrétních příkladech si také ukážeme možnosti a přístupy k jejich řešení včetně souvisejících technologií a služeb.

Samotné Nařízení je přímo účinné od 25.května 2018, a to ve všech členských státech Evropské unie bez ohledu na to, zda v dané době a zemi bude přijata dílčí či úplná transpozice Nařízení do národní legislativy.

V GDPR zkrátka platí – přijato bylo všemi ústředními orgány Evropské unie, tedy Evropskou komisí, radou i parlamentem, v platnost vešlo v průběhu května loňského roku a nyní je již v plném proudu dvouletá lhůta pro plánování a realizaci všech aktivit na zajištění souladu s jeho požadavky. V České republice je například z důvodu adaptace na požadavky Nařízení očekávána zásadní novelizace zákona na ochranu osobních údajů, resp. je připravován zákon zcela nový. Dále se také v důsledku GDPR bude velmi pravděpodobně měnit celá řada souvisejících zákonů jako například zákoník práce či legislativa a předpisy v oblasti zdravotnictví a poskytování zdravotnických služeb.

GDPR představuje ten typ Nařízení, jež může být s trochou nadsázky označeno za „třaskavé“. Přesněji řečeno jde o ten typ opatření, které má značný potenciál zásadně ovlivnit nebo zcela změnit zaběhlé postupy a opatření v oblasti ochrany dat, správy a zpracování osobních údajů. Poměrně zásadním způsobem také rozšiřuje rozsah toho, co může být považováno za osobní údaje a tím pádem podléhat požadavkům tohoto Nařízení. Ptáte-li se na tomto místě proč takové opatření vlastně potřebujeme? Ptáte se dozajista správně.

Zcela ústředním motivem, který se nese celým Nařízením včetně navazujících doporučení (tzv. Article 29 Working Party Guidelines), je zajištění účinné ochrany osobních údajů všech občanů Evropské unie, zejména s ohledem na zcela nové výzvy a rizika vyplývající z fungování digitální ekonomiky 21.století. Zároveň se GDPR stává jednotným nástrojem pro efektivní vymahatelnost ochrany soukromí každého z nás bez ohledu na to, zda žijeme v České republice, Německu či jiném státě Evropské unie. Celé Nařízení je koncipováno navíc tak, že v jeho středu stojí skutečně samotný subjekt údajů – tedy každý z nás jako občan Evropské unie. Všechna opatření vyplývající z požadavků GDPR tak budou muset realizovat i subjekty, organizace a společnosti pocházející ze zemí mimo Evropskou unii, ale které nabízejí své zboží či služby na území EU nebo v těchto evropských zemích alespoň monitorují chování zákazníků. Jde tedy například i o globální společnosti původem ze Spojených států amerických, japonské či korejské automobilky, čínské cestovní agentury nebo farmaceutické a logistické společnosti působící na evropském trhu a mnoho dalších.

Cílem Nařízení je také významným způsobem přispět k fungování jednotného evropského digitálního trhu jako zásadního prvku rozvoje dlouhodobé konkurenceschopnosti a digitální ekonomiky v Evropě. Jaké jsou tedy hlavní oblasti změn a požadavků, které GDPR oproti stávající úpravě ochrany osobních údajů přináší?

Rozšíření definice osobních údajů

Z důvodů rozšíření definice osobních údajů bude pro organizace vždy nejprve velmi důležité zmapovat, s jakými daty pracuje a provést jejich klasifikaci a kategorizaci. Takové zmapování výsledně poskytne představu o tom, kterými daty se musí společnost skutečně zabývat a na jak velkou oblast její činnosti GDPR dopadne. Nařízení zavádí také zcela novou oblast osobní údajů vyplývajících z možnosti tzv. nepřímé identifikace, kam mohou spadat například zaměstnanecká identifikační čísla, síťové identifikátory, lokační údaje nebo jeden či více zvláštních prvků fyzické, psychické, genetické, ekonomické, kulturní či ekonomické identity dané fyzické osoby.

Omezení možností shromažďování osobních údajů

Nově musí být údaje v podobě dat drženy pouze po dobu nutnou pro ukončení procesu, za jehož účelem byly přijaty a zároveň nesmí být využity k jinému než původnímu účelu bez souhlasu subjektu osobních údajů, tedy každého jednoho z nás.

Rozšíření povinností správce a zpracovatele osobních údajů

Tato rozšíření se týkají se například nutnosti zavedení interních pravidel pro práci s osobními údaji, školení zaměstnanců a stálého monitoringu využívání dat zpracovatelem ze strany správce. Správce bude muset být na zpracovatelích schopen vymoci naplnění požadavků na práci a využívání dat (viz také výše předchozí omezení možností shromažďování), jako například „práva být zapomenut“, které musí být v případě požadavku ze strany subjektu osobních údajů realizováno i u všech zpracovatelů.

Vysoké sankce za porušení Nařízení

Konkrétně může dozorový orgán v případě porušení souladu ochrany osobních údajů s požadavky Nařízení udělit správci nebo zpracovateli pokutu ve výši až 20 mil. EUR nebo 4% v celosvětového obratu společnosti za předchozí finanční rok.

Zajištění souladu prostřednictvím opatření organizačního a technického charakteru

Při posuzování vhodnosti opatření na zajištění souladu s Nařízením musí být aplikován přístup zohledňující rizikovost zpracovávaných údajů a případný dopad na subjekty údajů v případě jejich úniku. Posuzování dopadu na subjekty údajů je pak nutno provádět při každém zavedení nového procesu, který využívá osobní údaje a mohl by být případným potenciálním rizikem.

Povinnou roli tzv. pověřence na ochranu osobních údajů

Každá společnost a organizace, která spadá do působnosti Nařízení musí také zajistit roli tzv. pověřence na ochranu osobních údajů. Takový zaměstnanec, popř. tuto roli lze také zajistit externími službami, musí mít expertní znalost ochrany osobních údajů včetně praxe, být nezávislý z hlediska zpracovávání osobních údajů v dané společnosti a bude dohlížet mj. na dodržování souladu s požadavky Nařízení, informovat a poučovat o závazcích vyplývajících z Nařízení a předpisů souvisejících s ochranou osobních údajů a v neposlední řadě bude také zajišťovat spolupráci a komunikaci s dozorovým úřadem.

Na první pohled je nyní zcela jistě zřejmé, že realizace technických a organizačních opatření potřebných k naplnění souladu s požadavky GDPR včetně uvážení rizika významných sankcí, nebude ani rychlá ani snadná. Na druhou stranu, jde o soukromí a ochranu dat každého z nás, a je proto naprosto nezbytné, abychom přípravě na účinnost Nařízení v květnu roku 2018 věnovali náležitou pozornost a na tuto zcela zásadní změnu ochrany osobních údajů se velmi dobře připravili.

Autor je GBS managing consultant ve společnosti IBM.


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Divize firmy Deutsche Telekom T-Systems ruší 10 000 míst

ČTK , 22. červen 2018 09:00

Na 6000 míst z celkového počtu má být zrušeno v Německu v průběhu příštích tří let....

Více 0 komentářů

Šéfovi Intelu srazil vaz vztah na pracovišti

ČTK , 22. červen 2018 08:00

Ve funkci předsedy představenstva a člena správní rady Krzaniche přechodně nahradí dosavadní finančn...

Více 0 komentářů

Musk: Favoritem pro evropskou továrnu na baterie Tesly je Německo

ČTK , 21. červen 2018 10:00

Revoluce elektrických aut zvýší do roku 2025 hodnotu evropského trhu s bateriemi na zhruba 250 milia...

Více 0 komentářů

Kalendář

19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018
04. 08.

09. 08.
Black Hat USA 2018

Starší zprávičky

Česko testuje komunikaci mezi auty, vlaky a MHD

ČTK , 21. červen 2018 09:00

Vozidla si budou vyměňovat informace například o tom, jak je vlak daleko od závor, nebo že tramvaj v...

Více 0 komentářů

Xiaomi chce při vstupu na burzu získat až 6,1 miliardy dolarů

ČTK , 21. červen 2018 08:00

Půjde o jednu z největších primárních nabídek akcií v technologickém sektoru za posledních několik l...

Více 0 komentářů

Kryptoměnovou burzu Bithumb napadli hackeři

ČTK , 20. červen 2018 10:16

Za poslední týden jde již o druhý útok na kryptoměnové burzy v Jižní Koreji. Bitcoin opět klesl....

Více 0 komentářů

Největší australská telekomunikační firma masivně propouští

ČTK , 20. červen 2018 09:52

Telstra dominuje australskému trhu mobilních telefonů a širokopásmových sítí, zisky z pevných sítí a...

Více 0 komentářů