Rok 2017 bude pro tisíce firem znamenat analýzu bezpečnostních opatření, interních předpisů i faktického fungování společnosti. Důvodem je nové nařízení o ochraně osobních údajů známé pod zkratkou GDPR.
„Toto nařízení komplexně upravuje ochranu osobních údajů a nahradí náš současný zákon," říká partner advokátní kanceláře Rowan Legal Michal Nulíček s tím, že dosud byly společnosti v Česku vázané pravidly stanovenými zákonem o ochraně osobních údajů.
„Nejdůležitější povinností podnikatelů je nyní především stanovit účel zpracování, následně zpracovávat osobní údaje pouze za tímto účelem, a jakmile účel pomine, osobní údaje vymazat," dodává Nulíček.
Firmy musí vést záznamy o tom, kdo má k údajům přístup, a zajistit, aby se k nim dostaly pouze osoby povolané. Důležitou roli v agendě osobních údajů hraje i Úřad pro ochranu osobních údajů, který plní kontrolní funkci.
Tento článek je součástí speciálního vydání.
Odhalte témata, která budou hýbat světem v roce 2017, a objednejte si exkluzivní publikaci Svět 2017 přímo domů.
Na číslo 902 11 odešlete SMS ve tvaru:
EKOSVET JMENO PRIJMENI ULICE C.P. OBEC PSC
Nebo objednávejte on-line: ekonom.cz/svet2017.
Cena je 89 Kč vč. DPH.
Zcela nová evropská úprava bude pro podnikatele znamenat především větší důraz na zabezpečení osobních údajů, například šifrováním, a více povinností. Přináší však i vyšší sankce, které mohou být pro společnosti citelné. Květnem 2018, kdy dojde k účinnosti nařízení, pak skončí lhůta, kterou mají všechny společnosti na to, aby se na nové nařízení připravily a implementovaly nutné změny. Jinak jim hrozí pokuta až 20 milionů eur.
Nařízení vydané Evropskou unií se týká nejen internetových služeb a sociálních sítí, ale například i lékařů a firem, které využívají takzvané cookies. Tedy údaje, jež internetové prohlížeče ukládají o činnosti uživatele. Právě tyto cookies budou nově považovány za osobní údaje, proto by weby měly hned při vstupu žádat o klientův souhlas.
Pozor na outsourcing
Změny, které firmy zaznamenají, se budou odvíjet od rozsahu a povahy zpracování osobních údajů, které daný podnikatel provádí.
„Celkově je smyslem obecného nařízení posílit úroveň ochrany osobních údajů a soukromí jakožto základního lidského práva," vysvětluje význam úpravy mluvčí Úřadu pro ochranu osobních údajů David Pavlát. Nařízení zvýší nároky na poskytování souhlasu a nutnost revize současných smluvních vztahů.
„Všichni podnikatelé, kteří na základě souhlasu zpracovávají osobní údaje, budou muset provést komplexní revizi již udělených souhlasů a způsobů, jakými je získávají," uvádí advokát Nulíček.
Dále bude nutné komunikaci s jednotlivci vést jednoduše, to znamená jednoduchými jazykovými prostředky, stručně a komunikace bude muset být snadno dostupná, tak aby nedocházelo k nedorozumění.
Podnikatelům, kteří neprovedou změny zpřísňující ochranu osobních údajů, hrozí pokuta ve výši až 20 milionů eur.
Podnikatel se bude muset mít na pozoru v případě, kdy údaje poskytuje (outsourcuje) ke zpracování další společnosti. Je potřeba vybrat si takovou firmu, která splňuje všechny náležitosti. Změny platí také pro podobu smluv s externími firmami, protože Evropská unie nově stanovuje určité obsahové náležitosti, které bude nutné do nových i již uzavřených smluv promítnout.
„Všechny společnosti se budou muset připravit na posuzování rizik, jež jsou součástí mnohých povinností v nařízení. Náročné může být také plnění povinnosti hlásit bezpečnostní narušení, jež si bude žádat zavedení efektivních mechanismů interního reportování, vyšetřování a řešení těchto incidentů," uzavírá Nulíček s tím, že by firmy neměly spoléhat na to, že implementaci stihnou na začátku roku 2018, a s přípravou by měly začít co nejdříve.