GDPR se blíží. Sankce pro firmy budou závratné

GDPR se blíží. Sankce pro firmy budou závratné

Poslední dobou se těší velké pozornosti médií zavádění obecného nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (GDPR). Jedná se o stále aktuálnější téma, o kterém ještě mnoho uslyšíme.

GDPR bylo přijato již v dubnu 2016, nicméně v platnost vstoupí až 25. května 2018. I když v době psaní tohoto příspěvku zbývá do začátku jeho platnosti stále více než půl roku, rádi bychom včas upozornili na fakt, že je potřeba se jím zabývat už teď. GDPR se dotkne každé společnosti, která shromažďuje, zpracovává nebo jiným způsobem využívá osobní údaje svých zaměstnanců, zákazníků, klientů či dodavatelů.

Jelikož GDPR zavádí mnoho nových pojmů a povinností, nenechávejte vše na poslední chvíli a začněte se informovat a připravovat už nyní. GDPR totiž kromě mnoha povinností zavádí v případě nesplnění či porušení nových pravidel obrovské pokuty, a to až do výše 20 milionů eur nebo 4 % z ročního obratu společnosti.

Obecné univerzální vyřešení a nastavení souladu konkrétní organizace s GDPR neexistuje, i když se řada především softwarových společností snaží všechny přesvědčit o opaku. Skutečné řešení souladu s GDPR je pro každou organizaci vždy jedinečné.

Před zahájením celého procesu změn pak doporučujeme položit si následující otázky:

  • Jaké osobní údaje zpracovávám?
  • Kde všude jsou osobní údaje uloženy a jak mám zajištěno, že nejsou jinde?
  • Je moje bezpečnostní politika v souladu s GDPR?
  • Jak zajistím výkon veškerých práv subjektů, jichž se údaje týkají?
  • Jak omezím přístup k osobním údajům?
  • Jak zajistím případné bezpečné sdílení osobních údajů?
  • Jak zachytím narušení zabezpečení?
  • Jak zajistím ohlášení narušeného zabezpečení ve stanovené lhůtě?
  • Jak prokážu, že postupuji v souladu s GDPR?

Odpověď na některé z těchto otázek nemusí být snadná. A není vyloučené, že se ukáže jako nezbytné investovat do úpravy databází, lepšího zabezpečení dat a školení zaměstnanců. Každá firma, instituce nebo obec, na kterou se GDPR vztahuje, musí zajistit důkladné zabezpečení citlivých dat a reportování dohledovým úřadům. Povinné bude také získat od lidí souhlas se zpracováním jejich dat a rovněž odstranit informace, pokud o to dotyčný požádá. V neposlední řadě bude také potřeba doplnit tým o odpovědnou osobu pro oblast GDPR.

Změny jsou rozsáhlé a nařízení o ochraně osobních údajů zavádí násobně vyšší pokuty, než bylo dosud u podobných norem zvykem. Kdo ještě nezačal, měl by se okamžitě pustit do díla.

milan.nemec

Autor:

Milan Němec je Managing Partner Grinex Czech Republic odpovědný za audit a za znalecký ústav. Můžete ho kontaktovat na milan.nemec@grinex.cz.