O nás     Inzerce     KontaktVěrohodné informace z byznysu již od roku 2013
Hledat
Nepřehlédněte: Slovník ekonomických pojmů
Plánovací kalendář 2025
Zkušenosti podnikatelů v ČR
Nejlepší IT: Pozoruhodné IT produkty pro rok 2024 podruhé
Hlavní rubriky: Ekonomika, Podnikání, Investice, Reality, Lidé, Peníze, Technologie, Zkušenosti, Speciály

Slovník ekonomických pojmů
Praktické informace pro firmy

Nařízení GDPR květnem nekončí: 7+1 tipů, co ještě udělat

Nové nařízení Evropské unie ohledně správy osobních dat, tzv. General Data Protection Regulation (GDPR) je dnes často zmiňovaným pojmem. Zavedení správné ochrany dat je aktuální otázkou pro podnikatele, firmy všech velikostí, banky, neziskové organizace a mnoho dalších subjektů. Samotné zavedení opatření ale nestačí. 25. květnem 2018 pro subjekty, kterých se nařízení týká, práce nekončí. Naopak GDPR zavádí pravidla, která se musí ve firmách neustále kontrolovat a aktualizovat tak, aby se dotčené subjekty sankcím vyhnuly.

“Příprava společnosti na GDPR není o nějaké chytré krabičce, který vše vyřeší za vás. Jedná se o soubor úprav a změn procesů, smluvní dokumentace, vztahů se zaměstnanci, dodavateli a odběrateli, jimž jsou údaje poskytovány,” říká Jiří Vančura, GDO Director Xerox v České republice. Které procesy a záležitosti uvnitř firem po zavedení nového nařízení Evropské unie rozhodně neopomenout?

Nastavte si procesy průběžné kontroly správy dat

Zavedení nařízení GDPR je často složitý proces. Nově zavádí princip odpovědnosti, tedy povinnost správců a zpracovatelů údajů bez ohledu na velikost a počet zaměstnanců zavést technická, organizační a procesní opatření, která budou v souladu s principy GDPR. Firmy tak musí nejen implementovat ochranu dat do firemních procesů. Musí i nastavit procesy, které budou správně fungovat po jejich samotném zavedení. Důležité jsou průběžné monitoringy a reporty fungování práce s daty, které vám pomohou odkrýt případné nedostatky, které by mohly být v budoucnu sankcionovány.

Důkladně si vyjasněte povinnosti

Pro správný chod je důležité si vyjasnit, kdo má ve firmě jaké funkce a povinnosti. Zaměstnanci, kterých se práce s daty týká, by si tedy měli být vědomi, kdo za co zodpovídá. A samozřejmě kam se mohou obrátit v případě nějakého problému, komu hlásit změny v datech. Důležitý je proces mapování jejich práce, zabezpečení dat a možná prevence případných problémů.

Nezapomeňte na veškerá firemní data

GDPR se týká velké škály údajů od personálních přes seznamy dodavatelů a odběratelů. Do osobních dat spadají i tzv. organizační údaje (e-mailové adresy, telefonní čísla či další identifikační údaje vydané státem). Ale i data, která se nacházejí mimo IT systémy (například údaje v kartotékách, v souborech na plochách počítačů).

Z pohledu větších firem je proto vhodné zvážit využití externího dodavatele, který vám zmapuje současné nakládání s daty a pomůže nastavit procesy tak, aby byly tzv. GDPR compliant. “Často se u zákazníků objevuje nedostatečné zabezpečení v celé škále řešení. Jedná se jak o nevědomost, jak je nakládáno s firemními dokumenty citlivými na data, tak i zabezpečení vnitřního a vnějšího perimetru, mobilních zařízení, notebooků anebo řešení fyzického přístupu zaměstnanců do systémů,” přibližuje nedostatky v zabezpečení dat Vančura.

Proškolte zaměstnance

GDPR se netýká pouze Pověřence pro ochranu osobních údajů (DPO), ale v podstatě všech zaměstnanců, kteří s daty pracují. Lidský faktor bývá obecně považován za nejslabší místo systému. Proškolení zaměstnanců je proto velmi důležité. Připravte sadu jednoduchých doporučení jak mají pracovat, aby nedošlo k problémům. „Pokud je občan zaměstnán ve společnosti, která nakládá s osobními údaji a bude s nimi nakládat i do budoucna, tak se pro něj změní hodně. Od účinnosti nařízení GDPR bude muset pravděpodobně velmi pozměnit své pracovní návyky a s osobními údaji nakládat dle nových pravidel,” potvrzuje Alice Kubíčková, ředitelka Komory právní odpovědnosti.

Buďte připraveni na nahlášení problémů

V rámci procesů je taky důležité si uvědomit, jak musíte postupovat v případě problémů. Proveďte vyhodnocení možných rizik a připravte si krizový plán. Zpracovatelé záznamů musí vést záznamy o činnostech zpracování, za které zodpovídají. Budou muset spolupracovat s dozorovým úřadem a proto si buďte jisti, že váš pověřenec pro ochranu osobních údajů je opravdu odborník a ví, co má dělat.

Zjistěte, co všechno je nutné nahlásit na Úřad pro ochranu osobních údajů a co ještě není považováno za porušení zabezpečení dat. „Obecně se oznamují jen rizikové incidenty, kde je velké riziko zásahu pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování,” vysvětluje Kubíčková. V nemocnici by mohla nedostupnost kritických dat o pacientech, i jen dočasná, představovat riziko pro práva a svobody jednotlivce, kdy může být například zrušena operace. Naopak, budou-li po několik hodin nedostupné systémy v mediální firmě, je nepravděpodobné, že by to představovalo nějaké riziko pro práva a svobody jednotlivce.

Nevyhýbejte se odpovědnosti

Nyní ještě nevíme, jak přesně bude GDPR sankcionováno. Přesto se nevyhýbejte odpovědnosti za své chyby. Každý má právo získat informace o tom, jak se s jeho údaji nakládá. Pokud zjistí chyby (například nepřesnosti v údajích), může se domáhat provedení opravy. „Občan se může obrátit na Úřad pro ochranu osobních údajů případně také na soud a žádat provedení opravy či výmazu. Pokud správce nakládá s osobními údaji protiprávně, může na straně občana vzniknout škoda nebo nemajetková újma zásahem do jeho soukromí. Občan by se pak mohl domáhat náhrady škody, nebo odčinění nemajetkové újmy omluvou nebo odškodnění finanční náhradou,” upřesňuje Kubíčková.

Neuchovávejte zbytečná data

Zamyslete se, po jak dlouhou dobu je pro vás nutné data uchovávat. „Doba uchování osobních údajů je často stanovena v jiných předpisech než v nařízení GDRP. Například některé osobní údaje zaměstnanců, které mají vztah k jejich nároku na starobní důchod, je třeba uchovávat 50 let. Doba uchování osobních údajů podle nařízení GDPR má však být vždy omezena na dobu nezbytnou k naplnění účelu činnosti, případně na dobu přímo uvedenou v souhlasu,” vysvětluje Kubíčková.

Vzhledem k rozdílným cílům uchovávání dat není možné dát jednoznačné doporučení, jak s uchováním dat pracovat. „Každá společnost by si měla dopředu určit, zda při nakládání s osobními údaji naplňuje některý ze zákonných důvodů pro nakládání s osobními údaji. Následně si musí určit, co je přiměřená doba pro naplnění účelu a podle toho nastavit systém kontroly,” dodává ředitelka Komory právní odpovědnosti.

Mějte přehled o změnách

Nezapomeňte, že je nutné revidovat a aktualizovat postupy. Zásadní změny se patrně nebudou dít překotně, přesto je potřebné je sledovat. Především i z toho důvodu, že GDPR není v současnosti zcela jasné a bude se postupně dotvářet v rámci rozhodovací praxe a soudních rozhodnutí. Nařízení GDPR často nastaví cílový stav, ke kterému musí osoby dojít, ale cest, jak ho dosáhnout, může být i více.

“Nařízení GDPR také obsahuje legislativně ne zcela konkrétní pojmy, tzv. neurčité právní pojmy, které zřejmě vyloží až sama praxe. Například pověřence pro ochranu osobních údajů musí jmenovat osoba, která v rámci své hlavní činnosti zpracovává osobní údaje, a toto zpracování vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů (osob). V rámci výkladu je tak potřeba přesněji vyložit pojem „hlavní činnost“ a definovat, co se rozumí pojmy rozsáhlost, pravidelnost atd.,” říká DPO David Vavřínka, advokát LP Legal.


(27. 4. 2018 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2013-2024 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(3982)