GDPR vstoupí v platnost již za čtyři měsíce, co to pro české podnikatele znamená?
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation), které bylo schváleno v dubnu roku 2016, zanedlouho vstoupí plošně v celé Evropské Unii v platnost, a to konkrétně 25. května 2018. V České republice tak nahradí současnou právní ochranu osobních údajů a dotkne se nejen velkých společností, ale i menších institucí, drobných podnikatelů či kohokoli, kdo zachází s osobními údaji. Cílem je především chránit digitální práva občanů EU a zavedena bude celá řada pravidel. Jak je potřeba se na GDPR připravit?
Jaké zásadní změny GDPR přinese?
Změn plynoucích z GDPR je celá řada. Předně přibyde poměrně velká administrativní zátěž pro správce i zpracovatele osobních údajů, kteří budou muset nově prokazatelně doložit platnost a dodržování všech pravidel, která s tímto nařízením souvisí. Potřeba bude totiž dokumentovat například i to, že jsou zpracovávány pouze ta data, která jsou ke konkrétnímu účelu nezbytná. Nově také vejde v platnost oznamovací povinnost v případě narušení bezpečnosti osobních údajů, a to do 72 hodin od okamžiku, kdy se incident stal, přičemž v některých případech bude také nutné informovat osoby, kterých se únik týká. Již by se tak nemělo stávat, že bychom se o kauzách masivních úniků osobních dat dozvídali s odstupem několika let, jako tomu už několikrát v minulosti bylo. Nových práv se však dočkají i ti, kterým údaje patří. Budou moci například vznést námitku proti zpracování svých údajů či budou moci mít přístup ke všemu, co je o nich shromažďováno. Naprostou novinkou je však právo na výmaz a jeho rozšíření na právo být zapomenut, díky čemuž může konkrétní osoba požadovat, aby veškeré osobní údaje byly bez zbytečného odkladu vymazány, neexistuje-li právní důvod pro jejich další zpracování.
Co z toho tedy vyplývá pro správce a zpracovatele osobních údajů bez ohledu na jejich velikost nebo počet zaměstnanců? Předně je nutné do května 2018 zavést technická, organizační a procesní opatření za účelem prokázání souladu s principy GDPR. To bude představovat nemalé časové a finanční investice, které se budou týkat zejména implementace ochrany dat, vypracování posouzení vlivu na ochranu osobních údajů, jmenování pověřence pro ochranu osobních údajů či vedení záznamu o činnostech zpracování. Pro větší i menší podnikatele to v praxi znamená, že bude třeba zavést zcela nové systémy zpracování osobních údajů. Velké firmy se poté nevyhnou vybudování složité IT infrastruktury. Avšak pro fyzické osoby či menší a střední podniky přináší společnost IT2u Czech s.r.o. řešení.
Ta ve spojení s certifikovaným hardwarovým řešením vyvinula komplexní aplikaci eTrezor, která je jedním z fyzických opatření GDPR. Uživatelům zajišťuje šifrování datových souborů obsahujících osobní údaje, využití chráněného uložení hesel a certifikátů k přístupovým oprávněním k osobním údajům, možnost konkrétního řízení přístupů k informaci nebo jednoduchý monitoring manipulace s daty. Chráněna jsou tak data, hesla či elektronické podpisy, a to díky bezpečnostnímu čipu.
Aplikace se skládá z pěti modulů, mezi kterými lze snadno přepínat a mít vše pod kontrolou. eTrezor také nabízí uživatelsky přívětivé prostředí, sdílení šifrovaných dokumentů, serverovou verzi pro vzdálenou správu a mobilního klienta pro iOS a Android. Samozřejmostí je splnění všech požadavků GDPR, eIDAS a ISO 27.001. Podnikatelé zároveň ocení nezměrně nižší pořizovací náklady, aplikaci eTrezor je totiž možné pořídit již od 150 Kč měsíčně. Práce s citlivými daty je tak chráněna stejně jako ve společnostech využívajících firemní IT infrastruktury v hodnotě několika milionů korun.