České firmy mají jen něco málo přes rok na to, aby se připravily na změny, které s sebou přinese implementace nového nařízení Evropské unie o ochraně osobních údajů, tzv. GDPR (General Data Protection Regulation). Podcení-li totiž přípravy, může je za narušení bezpečnosti osobních údajů postihnout pokuta až 20 milionů eur.
Nařízení se i v Česku dotkne prakticky všech firem, nebo jednotlivců, kteří zpracovávají osobní údaje zaměstnanců, zákazníků, klientů či dodavatelů. GDPR nabude v celé Evropské unii účinnosti 25. května 2018. Protože byla nová pravidla přijata formou nařízení, budou platit ve všech státech EU jednotně a
|
General Data Protection Regulation (GDPR) |
konzistentně. Pro ČR to v praxi znamená, že bude třeba novelizovat zákon na ochranu osobních údajů, ale měnit se budou i související zákony jako např. zákoník práce či zdravotnická legislativa. Aplikace nových povinností v souvislosti s GDPR přinese firmám, které jsou správci nebo zpracovateli osobních údajů, finanční, organizační a personální náklady.
Firmy se musí na implementaci GDPR dobře připravit
Firmy, jichž se GDPR týká, by se nyní měly zaměřit na datový audit, revizi smluv a implementaci organizačních, technických i procesních změn. Také by měly proškolit své zaměstnance. Novinkou je to, že za ochranu osobních údajů bude zodpovídat nejen správce, tedy samotná firma, ale i zpracovatel. Firmy by si v organizační struktuře měly určit tzv. pověřence pro ochranu osobních údajů (Data Protection Officer), který implementuje GDPR interně a bude dohlížet na to, zda se firma chová v souladu s tímto nařízením.
V případě porušení nařízení budou firmám hrozit vysoké pokuty, které se mohou vyšplhat až do výše 20 milionů eur nebo 4 % z obratu za uplynulý finanční rok. Takovéto pokuty mohou být pro české firmy likvidační.
Co se změní?
Nařízení GDPR zavádí řadu nových pravidel. Jejich platnost a dodržování bude muset být zpracovatel osobních údajů schopen doložit po celou dobu jejich zpracování. Přibude mu tím velká administrativní zátěž, bude například povinen dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
S GDPR dochází také k rozšíření pojmu osobní údaj, který bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie. Nově je zavedena klasifikace tzv. genetických a biometrických údajů, jejichž zpracování vyžaduje přísnější režim. Větší změny nastanou v oblasti pojetí souhlasu ke zpracování osobních údajů. Novinkou pak bude tzv. právo být zapomenut, kdy mohou všichni požadovat, aby byly vymazány jejich osobní údaje, pokud pro jejich další zpracování není právní důvod. „Podniky budou mít rovněž oznamovací povinnost v případě porušení zabezpečení osobních údajů, kdy budou muset takovou skutečnost ohlásit Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od zjištění incidentu,“ říká Eva Škorničková, právní konzultantka pro IT bezpečnost a ochranu osobních údajů.
SP ČR připravuje firmy na blížící se změny v ochraně dat
Svaz průmyslu a dopravy ČR (SP ČR) uskutečnil na přelomu září a října loňského roku rozsáhlé dotazníkové šetření mezi svými členy, které mělo zjistit povědomí a míru připravenosti firem na implementaci nového nařízení. Průzkum však ukázal, že téměř 60 % firem v České republice o chystaných změnách v práci s osobními údaji ani neví.
„Je třeba firmy na nařízení dobře připravit a vysvětlit jim veškeré novinky a zejména rizika, která z nových pravidel pro podniky dle jejich typologie a velikosti vyplývají. Lhůta zbývající do nabytí účinnosti nových předpisů je extrémně krátká“, říká k tématu členka představenstva SP ČR s gescí pro digitální ekonomiku a předsedkyně Pracovní skupiny pro ochranu dat Milena Jabůrková.
|
Dotazníkové šetření SP ČR V rámci šetření oslovil SP ČR své členské firmy a to jak individuální členy (136 firem), tak kolektivní členy (31 svazů a asociací). Výsledky šetření naleznete zde. |
Problematika ochrany dat a osobních údajů v digitálním prostředí patří mezi priority SP ČR. Jedná se o jednu z priorit Expertního týmu pro digitální ekonomiku, v jehož rámci také funguje specializovaná Pracovní skupina pro ochranu dat. SP ČR je rovněž aktivním členem Pracovní skupiny Úřadu vlády pro legislativu v oblasti ochrany dat.
Svaz inicioval letos v lednu jednání s evropskou komisařkou Věrou Jourovou v sídle Úřadu vlády ČR. Diskutovalo se jak jinak než o zavádění evropských pravidel pro ochranu dat. „Mám zájem dodržet duch nové evropské legislativy, efektivně chránit osobní údaje evropských občanů, ale současně nezkomplikovat výkon podnikání v odvětvích, která pracují s osobními daty,“ zdůraznila komisařka Jourová.
Ke zvýšení povědomí o problematice ochrany osobních údajů a získání zpětné vazby organizuje SP ČR v rámci projektu Propojování národního, odvětvového a regionálního dialogu v ČR ve spolupráci s Úřadem pro ochranu osobních údajů sérii diskusních fór v krajských městech. Akce již proběhly v Brně, Jihlavě, Praze a Liberci. Další diskusní fórum, na které Vás srdečně zveme, je naplánováno na 22. března 2017 v Hradci Králové. Více informací včetně možnosti registrace naleznete zde.
O přípravě dalších workshopů k tématu ochrany osobních údajů Vás budeme informovat na webu www.socialnidialog.cz.
-lhe-
