V květnu příštího roku vejde v platnost nařízení Evropské unie o ochraně osobních údajů, tzv. General Data Protection Regulation neboli GDPR. Povinné firmy a instituce by podle odborníků neměly podceňovat přípravné práce. Za porušení hrozí viníkům pokuty až 20 milionů eur, případně 4 % z jejich obratu.
Koho se nařízení týká
Nové nařízení, které nahrazuje a rozšiřuje zákon o ochraně osobních údajů, se dotkne každého subjektu, který zpracovává osobní údaje občanů EU a zároveň posílí práva těchto občanů. Nařízení současně mění tradiční pojetí osobních údajů a přidává k nim několik nových kategorií – například IP adresa, lokalizační údaje, informace o nákupech či užívaných službách,“ shrnuje Jakub Kejval, odborník na kybernetickou bezpečnost z inspekční a certifikační společnosti Bureau Veritas, která poskytuje klientům v oblasti GDPR komplexní odborné poradenství.
Jak se na GDPR připravit
Projekt na zajištění souladu s GDPR je časově náročný a je vhodné s ním začít co možná nejdříve. „Zejména je nutné, aby správci osobních údajů zajistili splnění rozšířené informační povinnosti. To v praxi znamená, aby jim držitelé osobních údajů dali souhlas ke zpracování dat v rozsahu, který odpovídá nové regulaci. Mezní termín dokončení projektu je 25. května 2018,“ zdůrazňuje advokát Josef Aujezdský z eAdvokacie.cz.
Základní pilíře projektu
Jaroslav Látal, IT manažer a jednatel společnosti Digi Office, shrnuje celý projekt do několika kroků. „Analýzou stávajícího stavu firmy a instituce prověří, s jakými daty pracují a kdo k nim má přístup. Dále zajistí soulad již zpravovaných osobních údajů s novými podmínkami. Poté zavedou příslušná technická a organizační opatření, která zajistí trvalý soulad s požadavky na GDPR, včetně zajištění důvěrnosti, integrity a dostupnosti osobních údajů. Posledním krokem bude samotný provoz, během něhož bude třeba sledovat plnění zavedených opatření, a to zejména za účelem včasného odhalení narušení bezpečnosti.“
Čím začít
Dobrý předpoklad ke splnění požadavků GDPR mají firmy, které implementovaly certifikát ISO 27000. „Na osobní údaje lze totiž pohlížet jako na citlivá data, které certifikované organizace chrání, což se týká lidí, procesů i technologií. Pravidelným auditem mohou firmy prokázat, že provedly nezbytná opatření vedoucí k bezpečnosti informací. Je však třeba připomenout, že GDPR má proti ISO 27000 více požadavků, zejména pak na souhlas se zpracováním osobních údajů v širším pojetí, který je klíčový,“ uzavírá Jakub Kejval ze společnosti Bureau Veritas.
(tz)