Jak přežít nástup GDPR
Zveřejněno: 12. 03. 2018 | Autor: Václav Štverka
Kategorie: Bezpečnost, Management
GDPR – Co to je za zkratku?
GDPR (General Data Protection Regulation), neboli všeobecná ochrana osobních údajů, je nové nařízení EU č. 2016/679, které upravuje a zpřísňuje požadavky na ochranu osobních údajů v jakékoli formě (tzn. osobní údaje ve všech informačních systémech, elektronické záznamy na všech nosičích a v mailech, zálohovacích médiích atd.).
Toto nařízení se vztahuje na všechny organizace, které spravují a zpracovávají osobní údaje a vstoupí v platnost od 25.5.2018.
Vzhledem k tomu, že nařízení GDPR klade poměrně velké nároky na úpravu interních systémů organizace a to nejen po stránce administrativní, procesní, ale i technologické, je nezbytné, aby každá organizace si co nejdříve zjistila stav plnění požadavků GDPR z pohledu svých interních procesů.
Na následujícím obrázku je názorně ukázáno co GDPR pro organizace znamená:
Víte, jaká data zpracováváte a uchováváte ve svých systémech? Máte os. data pod kontrolou?
Než si odpovíte na tuto otázku, vysvětleme si detailněji, jaké cíle a principy GDPR požaduje.
Cíle a definice v GDPR
GDPR si stanovilo 3 cíle:
- Sjednocení legislativy na ochranu os. údajů a nastavení rovnoprávných podmínek v oblasti ochrany osobních údajů v celé EU.
- Zajištění vyšších práv pro subjekty osobních údajů (tzn. nás občany) – tedy jasná definice práv občanů:
- Právo na udělení souhlasu se zpracováním os. údajů, pokud pro to neexistuje jiný právní rámec
- Právo na výmaz os. údajů
- Právo na informace o tom, jaké os. údaje jsou o mé osobě zpracovávány a za jakým účelem
- Právo na přenos mých os. údajů
- Právo na přesnost os. údajů
- Právo odmítnout zpracování mých os. údajů v rámci automatického rozhodování nebo profilování
- Právo vznést námitku proti zpracování mých OÚ
- Povinnost správce OÚ řádně oznámit neoprávněný přístup, ztrátu nebo zneužití OÚ jak na UOOU, tak i subjektu údajů
Tyto cíle jsou navíc podpořeny požadavkem GDPR na zajištění odpovídající bezpečnosti, dostupnosti, integrity a důvěrnosti OÚ.
Dříve, než vysvětlíme, na jaké požadavky se musíte připravit, musíme si nejdříve objasnit, co to jsou “osobní údaje“ a kdo je „Subjekt OÚ„, „Správce OÚ“ a Zpracovatel OÚ„.
Subjektem osobních údajů je každá fyzická osoba, tzn. koncový uživatel, zákazník, nebo zaměstnanec. Tito všichni mají práva uvedena výše (viz odst. č.2) a mohou také vymáhat náhradu škody, pokud vyzrazením, zneužitím nebo jinou manipulací dojde k poškození jejich reputace, dobrého jména nebo jiné újmě.
Regulační orgány EU a ČR mají právo ukládat vysoké pokuty za porušování práv na ochranu osobních údajů.
Správcem OÚ je každý subjekt, který určuje účel a prostředky zpracování, provádí a odpovídá za zpracování; zpracováním může pověřit třetí osobu.
Zpracovatelem OÚ je, dle GDPR, každá fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
GDPR a dopad na organizace
Jak již bylo napsáno, požadavky GDPR musí být aplikovány a implementovány ve všech organizacích bez rozdílu. U jednotlivých organizací se bude lišit pouze počet a míra opatření, která bude nutno přijmout pro naplnění požadavků GDPR vzhledem k objemu a typům zpracovávaných OÚ.
Velký dopad má GDPR zvláště na ty organizace, které ukládají a zpracovávají velká množství osobních dat. Největší vliv má GDPR na následující činnosti a obory:
- Marketing a zpracování dat
- IT hosting / Poskytovatelé cloudových služeb a datová centra
- Zdravotnictví
- Státní a veřejná správa
- Právní firmy
- Finanční služby (bankovnictví / pojišťovnictví)
- Telekomunikace / poskytovatelé internetových služeb
- Firmy poskytující účetní a mzdové služby
GDPR a změny v IT systémech a technologiích
Článek 32 GDPR obsahuje demonstrativní výčet možných technických opatření, která je nutné realizovat nebo alespoň vzít v úvahu. V tomto požadavku GDPR je uvedeno, že: „Správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku porušení zabezpečení osobních údajů.
Nejvýznamnější technická opatření, která bude nutno realizovat, jsou zejména následující:
- Anonymizace OÚ
- Pseudonymizace OÚ
- Logování udělených souhlasů se zpracováním os. údajů
- „Inteligentní“ vyhledávání a mazání vybraných osobních údajů (právo být zapomenut)
- Nastavování přístupových oprávnění k OÚ
- Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů (řízení zálohování a plány obnovy dat po havárii IS/IT)
- Pravidelné testování, posuzování a hodnocení minimalizace zpracovávaných OÚ
- Zajištění integrity, přesnosti OÚ
- Ohlašování porušení zabezpečení OÚ (incident management)
- Přístup k OÚ a jejich přenositelnost
Z výše uvedeného vyplývá, že po stránce realizace technických opatření bude nutné udělat řadu změn ve vašich systémech. Část změn za vás udělají výrobci jednotlivých programů již při návrhu nových verzí.
Z vaší strany bude nutné, abyste si tyto nové verze programů zajistili včas!
Ptejte se proto, zda dodavatel SW aplikace má již k dispozici verzi, která je „GDPR kompatibilní“, případně jaké má nová verze funkcionality, které Vám ulehčí plnění požadavků GDPR ve Vašich podmínkách.
Jak začít?
K naplnění požadavků GDPR doporučujeme přistoupit komplexně.
- Zjistěte, co znamená GDPR pro vaši organizaci, nechte si udělat od specializované firmy tzv. „rozdílový audit, tzn. audit současného stavu Vašich systému vzhledem k plnění požadavků GDPR.
- Na základě této vstupní analýzy, si nechte udělat analýzu dopadů na OÚ a dále si zpracujte soubor opatření, který snižuje Vaše rizika vzhledem ke zpracovávaným OÚ.
- Na základě výše uvedených aktivit, můžete začít vybírat nejvhodnější opatření, kterými budete neakceptovatelná rizika snižovat.
Některé požadavky jsou jednoduché a zvládnete je sami. Ty složitější budou vyžadovat i externí pomoc od zkušené firmy z oblasti GDPR. Bude se jednat o důležité změny jako např. změnu obchodních, účetních a personálních procesů. Bude to znamenat nejen změnu směrnic a postupů, ale i zásah do vámi používaných a provozovaných informačních systémů (ERP, CRM atd.).
Ptejte se proto, zda dodavatel SW aplikace má již k dispozici verzi, která je „GDPR kompatibilní“, případně jaké má nová verze funkcionality, které Vám ulehčí plnění požadavků GDPR ve Vašich podmínkách.
Chcete mít firmu připravenou na GDPR? Potom na tom musíte začít pracovat co nejdříve!