Nebojte se GDPR

Ochraňte svá informační aktiva a buďte v souladu s evropskou legislativou.

 

 

Blíží se nařízení s tajemnou zkratkou GDPR, které firmám nařizuje střežit osobní údaje fyzických osob. Dne 25. 5. 2018 začne být účinné nové nařízení týkající se ochrany osobních údajů všech fyzických osob. Toto nařízení je všeobecně známé pod zkratkou GDPR (General Data Protection Regullation). Cílem nařízení GDPR je zamezit únikům a zneužití informací a tím více chránit osobní údaje obyvatel EU před jejich zcizením a následným zneužitím. Celkově se pak jedná o součást opatření, které v budoucnu mají podpořit kybernetickou bezpečnost. Toto nařízení přináší celou řadu nových pravidel. Jejich platnost a dodržování musí být správce schopen po dobu zpracování doložit, což může přinést velkou administrativní zátěž. Nástroje pro podporu zabezpečení osobních údajů a informací ale již existují.

 

SEDLAKOVA LEGAL s.r.o. uvedla na trh služby nabízející organizacím související s ověřením nebo zavedení změn, které vedou k souladu s tímto nařízením. SEDLAKOVA LEGAL s.r.o. ve spolupráci s předními právními a konzultačními společnostmi nabízí služby související s nastavením všech interních procesních činností a nástrojů.

 

Co je vlastně osobní údaj?

  • Osobními údaji jsou veškeré informace, které samy o sobě nebo v kombinaci s jinými informacemi vedou nebo mohou vést k jednoznačné identifikaci fyzické osoby. Tedy jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
  • Příkladem osobního údaje tedy může být:
  • jméno, adresa
  • poloha, elektronický identifikátor
  • zdravotní údaje
  • příjem
  • kulturní profil
  • služební e-mail a telefon vedoucí k identifikaci osoby, apod.

 

Koho se nařízení týká a jaké povinnosti GDPR zavádí?

Nařízení se týká všech subjektů, které pracují s osobními údaji jak svých zaměstnanců, tak klientů a zákazníků. Z toho vyplývá, že osobní údaje eviduje každá organizace a je povinna údaje zabezpečit a chránit. Na velikosti organizace nezáleží.

 

GDPR definuje celý souhrn opatření, které organizace musí zavést, aby splnila dané nároky:

  • zabezpečení organizačními a technickými prostředky veškerá zpracovávání osobních údajů, například pomocí vhodného šifrování a softwarové pseudonymizace osobních údajů (nebo-li skrytí identity)
  • rozšíření smluv se všemi zpracovateli osobních údajů o nově vyjmenované povinné náležitosti, uvedené v nařízení
  • přijmout uvnitř organizací kontrolní mechanismy, ať již manuální nebo automatizované, zajišťující zákonné zpracovávání osobních údajů
  • přijmout vnitropodnikové směrnice a postupy pro posuzování vlivů a ohlašování rizikových zpracovávání osobních údajů Úřadu pro ochranu osobních údajů
  • zajistit pro organizaci tzv. pověřence ochrany osobních údajů (DPO – Data Protection Officer), speciálního pracovníka, který bude dohlížet nad zpracováváním osobních údajů a komunikací s Úřadem pro ochranu osobních údajů (hlášení úniků nebo pokusů o únik)
  • na základě žádosti zajistit fyzickým osobám:
    • možnost zjištění rozsahu a účelu evidence osobních údajů v dané organizaci
    • umožnit přenositelnost osobních údajů poskytnutím jejich exportu ve strojově čitelném formátu
    • tzv. „právo být zapomenut“, což znamená smazání všech osobních údajů, které organizace eviduje (pokud daný účel není podmíněn nadřízené legislativě)


Výše uvedená opatření lze zobecnit do těchto povinností:

  • povinnost provádět posouzení dopadu na ochranu osobních údajů;
  • povinnost vést záznamy o zpracováních osobních údajů;
  • povinnost ohlašovat případy narušení bezpečnosti;
  • povinnost jmenovat pověřence pro ochranu osobních údajů, DPO.

 

Co je třeba udělat, jak s GDPR začít?

Dobrým začátkem je provést uvnitř podniku audit, v rámci kterého se ověří nebo případně odkryjí mezery ve zpracovávání osobních údajů, vyžadující aktualizaci podle nařízení. SEDLAKOVA LEGAL s.r.o. v této oblasti poskytuje komplexní služby týkající se revize a realizace jak organizační, tak technické části nařízení. Konkrétně se jedná o oblast těchto služeb:

  • Analýza směrnic a postupů nakládání s osobními údaji
  • Inventura dat, analýza vstupních dat – výčet dat jaká se zpracovávají a kde jsou uložena. Analýza databází a systémů z pohledu jejich struktury (pseudonymizace) dat, šifrování, řízení přístupů, logování atd.
  • Návrh opatření - definice pravidel nakládání s osobními údaji, a to jak z procesního hlediska edukace jednotlivých uživatelů, tak konfigurace pravidel ve stávajících systémech nebo zavedení nových. Aktualizace a tvorba nových směrnic, konfigurace přístupů a oprávnění, rekonfigurace systémů za účelem zavedení pseudonymizace dat (proces skrytí identity), šifrování, logování, reportování a dalších technických bezpečnostních opatření
  • Realizace navržených opatření.

 

Ve většině případů to znamená revizi nebo zavedení klasifikace informací, obsahu a souvisejícího systému pro zabezpečení informací a prevenci jejich úniku:

    • zavedení metodiky třídění dokumentů dle stupně důvěrnosti (např. veřejné, interní, důvěrné, tajné apod.)
    • dle této metodiky je následně dodán systém a v něm konfigurována pravidla, podle kterých je možné s dokumenty zacházet – např. interní a důvěrné dokumenty nemohou opustit síť organizace, jsou šifrovány, je zamezena tvorba screenshotů, jejich nahrání na internet atd.
    • zároveň vytváření automatizovaných notifikací a záznamů, pokud dojde k pokusu o porušení pravidel

 

Kombinací výše uvedeného pomohou zajistit Pověřenci ochrany osobních údajů komplexní procesní nástroje:

  • pro evidenci a zpracování žádostí subjektů údajů o výpis, opravu, doplnění či likvidaci osobních údajů;
  • pro zaznamenávání zpracovávání osobních údajů;
  • pro automatizovanou tvorbu strojově čitelných exportů osobních údajů nebo
  • pro reportování a vyhodnocování pokusů o zcizení osobních údajů.

 

Hrozba pokuty je až příliš reálná. Neřešení požadavků vyplývající z nařízení může vést i k ohrožení vašeho podnikání. V případě, že se nestihnete nařízení do 25. května 2018 přizpůsobit, hrozí sankce ve výši až 20.000.000,- EUR nebo v případě obchodní společnosti až 4 % z  ročního celkového obratu. Přijetí odpovědnosti za incident může být tak hodně trpké.

 

Není na to ještě čas?

Nařízení sice začne platit přibližně za rok, ale na základě našich zkušeností, se kterými se setkáváme v praxi, doporučujeme připravit se na změny s předstihem již nyní - některé změny totiž znamenají faktické přehodnocení postupů a jejich implementace vyžaduje delší přípravy. Není proto vhodné celou problematiku nechávat na poslední chvíli.

 

SEDLAKOVA LEGAL s.r.o. bude pořádat sérii událostí, webinářů, workshopů a seminářů na téma GDPR. Účelem akcí je vzdělávání organizací a sdílení znalostí, které jsme již získali.

 

Těšíme se na setkání.

 

 

 

© 2017 SEDLAKOVA LEGAL s.r.o. Všechna práva vyhrazena.