Jaké kroky by měli podnikatelé v souvislosti s GDPR podniknout?
GDPR (General Data Protection Regulation) neboli Obecné nařízení na ochranu osobních údajů, které bylo schváleno v dubnu roku 2016, vstoupí 25. května letošního roku plošně v celé Evropské unii v platnost. V České republice tak nahradí současnou právní ochranu osobních údajů a dotkne se nejen velkých společností, ale i menších institucí, drobných podnikatelů či kohokoli, kdo zachází s osobními údaji. Jaké kroky je tedy v tuto chvíli potřeba podniknout?
Abyste byli schopni říct, jaká opatření je v souvislosti s GDPR nutné přijmout, je stěžejní se s celou problematikou zevrubně seznámit. Nedoporučuje se toto nařízení ignorovat, v takovém případě totiž hrozí pokuta až 20 milionů EUR či, v případě podniku, 4 % celkového ročního obratu za předchozí rok. Bohužel však, GDPR je natolik obsáhlé a pojí se s ním tolik změn, že prostudování materiálů těžko stihnete během jednoho nedělního odpoledne. Online je však k dostání nespočet materiálů, které by vám měly pomoci nové nařízení pochopit a předně poradit co a jak. Možné je taktéž najmout si externí firmu, která v této souvislosti nabízí komplexní poradenství a následnou implementaci GDPR. Jedno je ovšem jisté. Pokud jste doposud nezačali celou problematiku řešit, je opravdu nejvyšší čas. Doba potřebná pro přípravu se totiž může pohybovat v rozmezí od dvou měsíců do dvou let.
Co tedy ale jako podnikatelé musíte udělat? Nejprve je nutné zaměřit se na hlavní oblasti GDPR a stanovit si, jak s osobními údaji zacházíte nyní a zda tento způsob koresponduje s nařízením GDPR a pokud nikoli, tak co je potřeba udělat pro to, aby tomu tak bylo. Doporučujeme vypracovat seznam zpracovávaných osobních údajů a odpovědět si na otázku, zda zpracováváte osobní údaje dětí nebo takové, které spadají do zvláštní kategorie. Mezi ně můžeme zařadit údaje jako rasový či etnický původ, politické postoje, náboženství či zdravotní stav. Následně je nutné určit, v jaké roli váš podnik s osobními údaji zachází a za jakým účelem. Vhodné je taktéž zjistit, jakým způsobem údaje zpracováváte a jakým způsobem je získáváte. Důležité je také určit, zda v nějakém případe poskytujete tyto údaje třetím stranám a pokud ano, tak kterým. A v neposlední řadě je stěžejní posoudit i to, jak jsou vámi uložená data chráněna. S tím se totiž pojí i určitá IT opatření v podobě vybudování složité IT infrastruktury. To se ovšem týká spíše větších společností, jednotlivci a menší a střední podnikatelé by si dle všeho měli vystačit s řešením, které přinesla společnost IT2u Czech s.r.o. a které výrazně ušetří čas a peníze.
Jedná se o aplikaci s názvem eTrezor, která byla vyvinuta ve spojení s certifikovaným hardwarovým řešením a která je jedním z fyzických opatření GDPR. Uživatelům zajišťuje šifrování datových souborů obsahujících osobní údaje, využití chráněného uložení hesel a certifikátů k přístupovým oprávněním k osobním údajům, možnost konkrétního řízení přístupů k informaci nebo jednoduchý monitoring manipulace s daty. Chráněna jsou tak data, hesla či elektronické podpisy, a to díky bezpečnostnímu čipu.
Aplikace se skládá z pěti modulů, mezi kterými lze snadno přepínat a mít vše pod kontrolou. eTrezor také nabízí uživatelsky přívětivé prostředí, sdílení šifrovaných dokumentů, serverovou verzi pro vzdálenou správu a mobilního klienta pro iOS a Android. Samozřejmostí je splnění všech požadavků GDPR, eIDAS a ISO 27.001. Aplikaci je možné pořídit na webových stránkách www.etrezor.online, a to již od 150,- Kč měsíčně.