Týká se GDPR i naší firmy?

Pokud má organizace sídlo v EU a je správcem nebo zpracovatelem osobních údajů, odpověď zní ano, a to i když údaje nejsou v EU zpracovávány. Pokud organizace nemá sídlo v EU, ale i tak poskytuje zboží nebo služby uvnitř EU nebo občanům EU nebo monitoruje chování občanů EU, je rovněž povinna nařízení GDPR dodržovat.

Oproti předchozí směrnici o ochraně údajů (směrnice 95/46/EC), která byla základem evropských zákonů o ochraně soukromí od roku 1995, rozšiřuje GDPR svou extrateritoriální uplatnitelnost.

Další oblasti, ve kterých se zákony zpřísňují:

Právo subjektů údajů na žádost o zastavení zpracování nebo šíření osobních údajů a výmaz údajů v případě, že subjekt odvolá svolení nebo pokud už údaje nejsou relevantní - právo být tzv. zapomenut.

Pravidla pro získání svolení od subjektů údajů nyní vyžadují jasný a jednoduchý jazyk (konec matení mořem právničiny) a odvolání souhlasu musí být snadné.

Právo subjektů údajů na obdržení kopie svých osobních údajů v běžném elektronickém formátu, v případě žádosti, a právo je předat jinému správci.

Soukromí již od návrhu vyžaduje, aby byla ochranu údajů zabudována do systémů už od fáze návrhu.

Povinné upozornění na narušení do 72 hodin od prvního zjištění narušení.

Velmi důležitý rozdíl mezi předchozí směrnicí o ochraně údajů a nynějším obecném nařízení o ochraně údajů leží v názvech - první je směrnicí, druhé je nařízením.

Směrnice mohou být interpretovány a implementovány v rozličných zemích EU různě. Nařízení je vynutitelným právem, které má být vykládáno a aplikováno jednotně napříč celou EU.

Pro úplné porozumění GDPR je třeba přečíst jak články (přijatý zákon), tak jejich body odůvodnění, které vytyčují důvody pro ustanovení zákona a pomáhají s interpretací jeho významu. GDPR sestává z 99 článků a 173 bodů odůvodnění.

Dopady GDPR

Mnoho společností mimo EU, které dříve nespadaly pod směrnici o ochraně dat, bude muset nově dodržovat GDPR kvůli výše zmiňovanému rozšíření uplatnitelnosti. Například monitoring chování může zahrnovat využívání cookies k profilování občanů EU na webových stránkách.

Mnoho organizací bude nuceno změnit způsob, jakým sbírají, skladují, zpracovávají a chrání informace o svých zákaznících. Společnosti, které spadají pod GDPR, musí posoudit své možnosti a vypracovat strategii pro soulad. Například se musíte rozhodnout, jestli implementovat stejná ochranná opatření pro všechny osobní údaje anebo mít oddělené postupy pro občany EU.

Některé organizace budou nově nuceny jmenovat inspektora ochrany údajů (DPO z Data Protection Officer). To se týká jak správců, tak zpracovatelů, pokud je součástí jejich hlavních aktivit zpracování, které vyžaduje rozsáhlé, pravidelné a systematické sledování subjektů údajů.

Tato nová povinnost se rovněž vztahuje na ty, kteří sbírají nebo zpracovávají speciální kategorie údajů nebo údaje související s trestnými činy a s odsouzeními. DPO musí být kvalifikovaným expertem v postupech a zákonech o ochraně údajů. Úkoly DPO jsou vypsány v článku 39.

Organizace mají k dispozici mnoho nástrojů, které jim umožní provést a zdokumentovat kroky, jež jsou ke splnění požadavků GDPR nutné - od rozpoznání osobních údajů, které musí být chráněny, po jejich správné zabezpečení, efektivní řízení a sledování jejich pohybu a toho kde, kdy a kdo k nim má přístup.

Důsledky nedodržení GDPR mohou být přísné - tresty se mohou lišit podle povahy porušení, ale maximální pokuta je vyšší částka ze 4% ročního globálního obratu, nebo €20 milionů.

Americké společnosti utrácejí miliony dolarů, aby se těmto pokutám vyhnuly a aby splňovaly požadavky nařízení GDPR.

Další články k tématům - cookies - DPO - GDPR - monitoring - pokuta - směrnice - zákon

Článek GFI Software ze dne středa 4. dubna 2018