GDPR – co přináší a jak se připravit

GDPR – co přináší a jak se připravit

 

Vstoupení v účinnost nového nařízení Evropské unie v oblasti ochrany osobních údajů General Data Protection Regulation (též GDPR, česky Obecné nařízení o ochraně osobních údajů) se pomalu blíží a české společnosti už začínají řešit, jaké změny v zabezpečení dat po nich nová evropská legislativa vyžaduje.

V současné době na území Evropské unie platí Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která vznikla jako odpověď na zvýšené požadavky ochrany osobních údajů na jednotném evropském trhu v digitálním světě. Tuto směrnici měli členské státy postupně zahrnout do svých právních řádů, vzniklo tedy 28 různých národních právních předpisů upravujících ochranu osobních údajů (příkladem může být český zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů). V současné době však vzhledem k rozvoji mezinárodního trhu vznikají zejména subjektům působícím ve více členských státech potíže právě kvůli odlišnosti jednotlivých národních norem a i z toho důvodu bylo v dubnu 2016 přijato GDPR, jehož cílem je jednotně upravit otázku ochrany osobních údajů občanů evropských členských států a které vstoupí v účinnost 25. května 2018.

Koho se GDPR týká?

GDPR se týká všech subjektů, které zpracovávají osobní údaje občanů EU. Osobním údajem se myslí jakákoliv informace týkající se přímo či nepřímo určené nebo určitelné fyzické osoby. Mezi citlivá osobní data je tedy potřeba počítat např. i osobní údaje na fakturách, ve smlouvách i v životopisech uchazečů, fotografie osob, zdravotní informace, emailová adresa, telefonní číslo, IP adresa a podobné.

Co GDPR přináší?

GDPR přináší sjednocení právní úpravy v oblasti ochrany osobních údajů v rámci Evropské unie. Mezi hlavní změny patří požadavek na zřízení firemní kontrolní funkce Pověřence pro ochranu osobních údajů (DPO), navýšení požadavků na ochranu dat, vynucení ohlášení možných úniků jak úřadům, tak postihnutým subjektům, výrazné navýšení sankcí, mezinárodní působení této normy a posílení práv fyzických osob, jejichž osobní data jsou zpracovávána.

Jaké jsou možné sankce?

Nejvyšší možná sankce za porušení tohoto nařízení je 20 milionů € (tedy přibližně 540,4 milionů korun) nebo 4 % celosvětového obratu proviněné společnosti, což u velkých mezinárodních společností může znamenat i pokutu vyšší než roční rozpočet menších evropských členských států. Také je potřeba počítat s tím, že kromě finanční sankce může Vaší společnosti uškodit už samotná povinnost oznámit postihnutým subjektům, že došlo k úniku a tudíž že s jejich osobními citlivými daty bylo nakládáno nezodpovědně a byla nedostatečně zabezpečena.

Jak co nejlépe reagovat na GDPR?

Zanalyzujte své firemní prostředí. Kolik, odkud a jaká osobní data sbíráte? Kam je ukládáte a kdo k nim má přístup? Dostávají se tyto údaje i mimo vaši firemní síť? Sdílíte je se třetími stranami? Jaké máte zabezpečení firemní sítě? Jste schopni odhalit úniky dat a chránit se před nimi? Šifrujete firemní data?

Následně se snažte minimalizovat případy, kdy se citlivá data dostávají mimo vaši síť, zabezpečte svou firemní síť i koncové stanice s důrazem na ochranu proti pokročilým typům škodlivých kódů a chraňte svoje data před možnými úniky. Důležité je mít na paměti lidský faktor, vyškolte tedy své zaměstnance, aby věděli, jak se chovat k citlivým datům, fungovat na síti a bránit se kybernetickým hrozbám, vytvořte si firemní politiku, ve které stanovíte, kteří uživatelé a jakým způsobem mohou nakládat s osobními údaji, zabezpečte mail a přístup na web, jelikož to jsou dva hlavní zdroje nákaz, a šifrujte data, což je jeden z mála v normě explicitně zmíněných způsobů, jak se vyhnout vysokým sankcím.

Jak Vám s tím můžeme pomoci?

Díky tomu, že se specializujeme na IT zabezpečení a denně sledujeme novinky a trendy v této oblasti, si uvědomujeme, že nová evropská legislativa bude znepříjemňovat život správcům firemních IT prostředí. Pokud Vás toto téma zajímá, domluvte si s námi schůzku, na které Vám budeme schopni konkrétněji poradit, jak lépe zabezpečit firemní infrastrukturu, ochránit se před ztrátou důležitých a citlivých informací, minimalizovat rizika spojená s rozvojem moderních technologií a doporučit a představit řešení, která Vám mohou ušetřit čas i peníze, které investujete do současných řešení.

Libor Vohánka

Zdroje:

https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=20112

https://www.epravo.cz/top/clanky/evropska-unie-schvalila-konecnou-podobu-obecneho-narizeni-o-ochrane-osobnich-udaju-101825.html

http://www.pravniprostor.cz/clanky/ostatni-pravo/k-nekterym-povinnostem-ktere-pro-spravce-prinasi-gdpr

http://www.rowanlegal.com/wp-content/uploads/2016/06/GDPR_Pojistn%C3%BD-obzor-2_2016.pdf

Tento článek vznikl za účelem informování o existenci nové právní úpravy ochrany osobních údajů a o její stručné rozebrání v souvislosti se zabezpečením informačních technologií. Ačkoliv jsme věnovali nejvyšší možnou pozornost obsahu a informacím publikovaným v tomto článku, mají tyto informace pouze informativní charakter a nelze je považovat za právní radu. awin IT ani autor textu neodpovídají za správnost a úplnost informací, zejména ne takových, které byly převzaty z externích zdrojů, za jejich přesnost, včasnost ani úplnost, za důsledky spoléhání na tyto informace, ani za škodu eventuálně vzniklou v důsledku aplikování informací obsažených v tomto článku.