Malý e-shop nebo banka, rodinná pekárna nebo letecký přepravce – Nové nařízení z dílny EU, tzv. GDPR, se vztahuje na všechny, kdo zpracovávají jakoukoli databázi osobních údajů. Jelikož v dnešní době eviduje osobní údaje téměř každá firma, stejně jako úřad veřejné správy, změnou svých postupů budou muset během následujícího roku projít statisíce subjektů v ČR. Sankce za případné porušení pravidel GDPR jsou totiž pro většinu z nich likvidační.
Nechte si zpracovat profesionální bezpečnostní audit, který vám postup zpracování osobních údajů dle nových pravidel zajistí.
Pseudonymizace
Jde o zpracování osobních údajů způsobem, který neumožňuje jejich přiřazení ke konkrétnímu člověku bez použití dodatečných informací. Ty musejí být uchovány odděleně s dostatečnou technickou a organizační ochranou.
Nové nařízení se dotýká všech subjektů, které zpracovávají jakékoli databáze osobních údajů nejen zákazníků, ale i zaměstnanců, pacientů, hostů a podobně. Nejčastější problémy přitom bývají v nedostatečném zabezpečení dat. GDPR klade důraz například zajištění kybernetické bezpečnosti, šifrování dat, nastavení vnitrofiremních procesů, zajištění tzv. pseudonymizace, nebo adekvátní zabezpečení tiskového prostředí.
Mezi nejčastěji evidované osobní údaje patří:
Nové nařízení z dílny EU mění některé mechanismy doposud vyplývající ze Zákona o ochraně osobních údajů. Mezi nové povinnosti patří například zabezpečení zpracování osobních údajů vhodnými organizačními a technickými prostředky, rozšíření smluv o nové povinné náležitosti nebo přijetí interních kontrolních postupů zajišťujících zákonné zpracování osobních údajů. Dohled nad těmito postupy by měl mít na starosti tzv. pověřenec ochrany osobních údajů, který bude zároveň v kontaktu s Úřadem pro ochranu osobních údajů.
GDPR
Tzv. GDPR (General Data Protection Regulation) vstoupí v ČR v platnost 25. 5. 2018. Pod názvem Obecné nařízení o ochraně osobních údajů EU nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES. Nedodržení nových pravidel může být pokutováno až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu obchodní společnosti, vždy podle toho, která částka je vyšší.
Posouzení souladu s GDPR, případně nastavení nových pravidel a postupů, může být pro většinu firem nad jejich síly. Existují však profesionální auditoři, kteří se analýzou zpracování osobních údajů zabývají. Výstupem odborného auditu pak musí být definice všech nedostatků a návrh vhodných řešení. Následná instalace nových systémů či zavedení bezpečnějších procesů může trvat delší dobu. Zejména větší společnosti by proto měly s podobným auditem začít co nejdříve.
Ideální poskytovatel auditu by měl z hlediska zabezpečení prověřit nejen využívané technologie, ale také softwarové nástroje, úložiště a databáze dat a všechny firemní postupy, během kterých se s osobními údaji jakkoli manipuluje. Komplexní audit zpracování osobních údajů v ČR poskytuje například Konica Minolta, které ve spojení s předními právními a konzultačními společnostmi zajišťuje rovněž ověření všech náležitostí obsažených ve smlouvách, firemních směrnicích nebo dokumentových šablonách.
Prvním krokem profesionálního auditu by mělo být uzavření dohody o mlčenlivosti, aby byla zajištěna bezpečnost údajů i během analýzy třetí stranou. Na základě osobního jednání se zástupci zákazníka by měl dodavatel následně sestavit seznam rizikových operací, dokumentů a dalších oblastí, u nichž provede technologické a právní posouzení. Výstupem auditu je pak písemné memorandum, které identifikuje rozpory s GDPR a doporučí vhodná řešení k nápravě. Například Konica Minolta již dnes poskytuje všechny své služby a produkty z oblasti dokumentových řešení a správy firemních procesů v souladu s pravidly GDPR. Svým zákazníkům je tak schopna na základě provedeného auditu zavést i příslušná vhodná opatření.
(Partnerský příspěvek)
