Do začátku platnosti GDPR nařízení zbývá ani ne 100 dnů. V účinnost vstoupí 25. května, po více než dvou letech od doby, kdy bylo schváleno. Přestože měli všichni dostatek času se na novinky připravit, stále je dost firem vyděšených a nemají tušení, co se vlastně od května změní. Patříte mezi ně také?
GDPR se dotkne každého z nás, ať už stojíte v roli firmy, nebo jednotlivce. Jednotlivcům totiž přinese mnohá zajímavá práva. Budou moci například zjistit, jaká data o nich daná společnost uchovává či co s nimi dělá. Zároveň bude možné požádat o odstranění takových dat, když nadále nebude důvod k jejich uchovávání. Ale to už předbíháme. Pojďme se na všechno podívat pěkně od začátku.
Nový zákon byl každopádně potřeba
Spousta lidí se na GDPR nařízení dívá jen jako na další zbytečný příkaz ze strany EU. Měli byste ale pochopit, že tak tomu není. Evropa už nový zákon potřebovala jako sůl. Doposud se totiž státy EU ve většině případů řídily zastaralými pravidly, která byla vytvořena za dob, kdy ještě neexistovaly webové stránky, cloud, big data, Internet věcí ani žádné jiné podobné technologie. Firmy také dříve neshromažďovaly tolik osobních dat jako v dnešní době. A tohle všechno je potřeba nějak řešit.
A co se vlastně změní?
Občané získají nová práva, firmy a instituce zase povinnosti. Budou muset ohlašovat zpracování osobních údajů úřadům vykonávajícím dozor. Také je ve spoustě případů neminou nová technická, organizační a procesní opatření. Je potřeba vést záznamy o činnostech zpracování, zavést tzv. pseudonymizaci osobních údajů, v některých případech i jmenovat pověřence pro ochranu osobních údajů a vypracovat posouzení vlivu na ochranu osobních údajů. Těchto pojmů se ale vůbec nelekejte.
Novinkou je rovněž povinnost oznámit únik dat příslušnému úřadu. Jistě si sami pamatujete spoustu případů, kdy došlo k úniku hesel či rovnou všech údajů uživatelů a veřejnost se o tom dozvěděla až po několika letech. Mnohdy přitom šlo o obrovské firmy, problém se dotýkal tisíců uživatelů. Tomu teď bude konec. Každý únik bude potřeba do určitého časového rozmezí ohlásit.
Divili byste se, kolik osobních údajů se dnes zpracovává
Osobní data dnes patří k velmi ceněným komoditám. Nejde přitom jen o datum narození, adresu nebo telefonní číslo. Za osobní údaje jsou považovány i zdravotní informace, sexuální orientace nebo náboženství. Samozřejmě nechybí ani moderní záležitosti jako třeba otisk prstu. I to je váš osobní údaj.
Ne u všech firem bude nařízení tak přísné
Nařízení se týká úplně všech firem, které nějakým způsobem nakládají s osobními údaji. Jde tedy především o firmy poskytující online či telekomunikační služby, zdravotní pojišťovny, nemocnice a mnoho dalších. S daty však nějakým způsobem operuje téměř každá společnost. GDPR bude přísnější k těm, které zpracovávají osobní údaje v rámci své hlavní činnosti. Organizace s méně než 250 zaměstnanci, jež se nezabývají primárně zpracováním osobních údajů, budou mít znatelné úlevy. Nemusíte se tedy bát složitých opatření.
Pokut se neděste
Každého samozřejmě napadne, co se vlastně stane, pokud GDPR nařízení nedodrží. Evropská unie straší vysokými pokutami ve výši 20 000 000 eur nebo 4 % z ročního obratu společnosti, přičemž bude brána vyšší z obou možností. Výše ovšem závisí nejen na velikosti firmy, ale i na závažnosti či délce porušování, počtu poškozených občanů atd. Správci nebo zpracovatelé osobních údajů navíc mohou čelit žalobám, které na ně podají poškozené fyzické osoby.
Tohle všechno jsou informace, jež byste měli vědět, neslouží ovšem k tomu, aby vás zastrašily. Bát se je zbytečné, raději se problému postavte čelem a vyřešte jej. Třeba zjistíte, že vás to až tolik úsilí stát nebude.
S pomocí odborníků vše zvládnete
Přestože je už docela pozdě začít bycha honit, ještě stále se dá všechno zvládnout. Nejdříve si pořádně přečtěte, co je GDPR, a chcete-li být moudřejší, prostudujte si celé znění tohoto nařízení, dá se najít i v češtině. Následně je potřeba analyzovat, s jakým typem osobních údajů pracujete, jaký je účel tohoto zpracování atd. Ve většině případů je však výhodnější, než studovat přesné znění GDPR, obrátit se na odborníky.
GDPR-ready dodavatelů je spousta a podporu při zavádění požadavků dost možná nabízí i nějaká společnost z vašeho okolí. Ti vám nejlépe poradí, co konkrétně musíte udělat. A možná zjistíte, že ve vašem případě vlastně příprava na GDPR není až tak hrozná, jak jste očekávali. Jen už dlouho neváhejte. Je lepší být připraven než se strachovat, co se stane, když připravení nejste.