GDPR

Obecné nařízení o ochraně osobních údajů bylo vytvořeno s cílem sjednotit zásady soukromí dat v rámci Evropy. Dříve se ochrana osobních údajů řídila zákony jednotlivých zemí v EU, což vedlo k podstatným rozdílům. Tuto situaci nyní změní unikátní zákon, který se vztahuje stejně na všechny členské státy EU.

Článek od Grit Heinig  - Global Business Development Manager Symantec ve firmě COMPAREX

GDPR – další zkratka, kterou je třeba si pamatovat. Nikdo nechce působit hloupě. Kromě toho se zdá, že tato čtyři písmena jsou v oblasti IT již pevně zakotvena. Grit Heinig využila příležitosti toto téma prozkoumat do hloubky a prošla celé Obecné nařízení o ochraně osobních údajů (GDPR).

Nakonec se vykrystalizovalo 5 hlavních bodů:

Zdroj: Symantec

Nařízení je již platné

Bylo přijato v dubnu roku 2016 Evropským parlamentem. Vstoupilo v platnost dne 25. května 2016 – 20 dnů po jeho zveřejnění v Úředním věstníku Evropské unie. Zajímavým aspektem je, že bude účinné až o dva roky později – od 25. května 2018.

Do toho dne samozřejmě ještě uplyne hodně času. Ale jakmile budou zavedena podrobná práva a povinnosti, budeme si muset odpovědět na otázku: Splňuje vaše IT oddělení všechny předpisy?

Nařízení platí i mimo EU

Když jsme v našem týmu vytvářeli informační kartu, abychom začlenili GDPR do našeho prodejního katalogu, jedna kolegyně ze Švýcarska řekla, že jí se to netýká. To, že Švýcarsko není členem Evropské unie, je známá věc. Ale okamžik: obě jsme podotkly, že „jde přece o občany EU!“

GDPR se vztahuje na všechny firmy po celém světě, které pracují s osobními údaji občanů EU. S cílem být v souladu s tímto nařízením možná stačí, aby váš zákazník vyplnil a odeslal jednoduchý formulář prostřednictvím vašich webových stránek.

Závěr: GDPR se týká nás všech. Nebo chcete skutečně říct, že nemáte absolutně nic do činění s žádným občanem EU?

Nařízení se týká zpracovávání a zaznamenávání osobních údajů

Zní to jednoduše a vlastně to i celkem jednoduché je. Nařízení nicméně obsahuje 88 stran s 89 články, z nichž každý ještě obsahuje několik pasáží. Určitě se vyplatí si nařízení pořádně pročíst. Samozřejmě se o GDPR dočtete i v nejrůznějších IT časopisech. Nebo si jej můžete jednoduše „vygooglovat“, což vás navede na tisíc různých stránek. Copak ale časopisecký článek může obsáhnout všechny aspekty právního textu? A opravdu z něj získáte kompletní přehled o všech opatřeních, která musíte zavést?

Nechci však přijít o příležitost představit vám své „oblíbené“ body:

• Zpracování osobních údajů by mělo být „přiměřené, relevantní a omezené na to, co je nezbytné pro účely, za nimiž jsou údaje zpracovávány“.

• Období, po které jsou údaje uchovávány, je omezeno na minimum.

• Osobní údaje musí být přesné a aktuální.

• Osobní údaje musí být chráněny před neoprávněným přístupem, nezákonným zpracováním a ztrátou. V tomto případě nařízení zdůrazňuje pseudonymizaci a šifrování dat. Důležitou roli hraje také „schopnost zajistit dostupnost a odolnost zpracovávacích systémů a služeb“.

• Nyní mi dovolte upozornit na skutečnost, že společnosti zaměřené na vývoj bezpečnostního software, jako je Symantec, nabízejí řadu produktů, které přesně splňují požadavky GDPR. Například Data Loss Prevention objevuje, monitoruje a chrání vaše citlivé údaje. Mluvíme-li o šifrování, napadnou nás produkty jako Endpoint nebo Desktop Email Encryption. Implementovat nařízení vám však pomůže i Advanced Threat Protection (ATP) nebo Control Compliance Suite.

• Je třeba jmenovat tzv. data protection officera neboli pracovníka pro ochranu dat, který je odpovědný za kontrolu dodržování GDPR, a který zajišťuje bezpečnost osobních údajů.

• Všechny příslušné osoby mají právo obdržet kopie svých údajů, opravovat a omezovat své údaje, jakož i své údaje mazat.

Nařízení neobsahuje pouze práva, ale také povinnosti

V případě, že došlo k útoku na IT systémy vaší firmy a/nebo k porušení ochrany osobních údajů, musíte o tom informovat příslušný kontrolní orgán, pokud možno do 72 hodin. Tento orgán však není jediným subjektem, který je třeba uvědomit. Je třeba informovat také všechny osoby, jichž se to týká. Můžete tak učinit například prostřednictvím veřejného oznámení. Kdo by ale chtěl dobrovolně přiznat, že došlo k bezpečnostnímu pochybení, ať už na systémové úrovni, nebo na straně interních zaměstnanců? Dnes už není otázkou, KDYŽ budete napadeni, ale AŽ; naštěstí však existují vhodná řešení, která dokážou udržet riziko rozsáhlých škod na minimu.

Nařízení s sebou nese závažné důsledky v případě nedodržování

V neposlední řadě platí, že v případě nedodržování budou uvaleny pokuty, které by měly být „účinné, úměrné a varovné“. Citováno z nařízení! V závislosti na typu porušení mohou být uvaleny peněžité pokuty ve výši 2 až 4 % z celkového celosvětového ročního obratu, avšak nejméně 10 až 20 milionů eur. To jednoho skutečně varuje a odradí, ne?

Sečteno a podtrženo, GDPR byste neměli brát na lehkou váhu. Ignorování nebo podceňování tohoto nařízení by bylo krajně lehkomyslné. Nebo snad chcete, aby vaše společnost představovala onen precedens, který bude jistě stanoven?

Po přečtení seznamu výše uvedených bodů a vysvětlení: jste si stále jisti, že vaše IT prostředí splňuje příslušné požadavky? Pokud ne, neváhejte nás prosím kontaktovat. Nebo si můžete stáhnout tento WhitePaper od společnosti Symantec:

  Stáhnout WhitePaper

WhitePaper vysvětluje pozadí GDPR a podrobně nastiňuje předvídatelné důsledky a přímé účinky nového nařízení. Jak je uvedeno výše, existuje řada softwarových produktů, které vám v dodržování GDPR mohou pomoci. A my vám pomůžeme najít to pravé řešení pro vaše IT prostředí.

 

Buďte v obraze

Chcete vědět, co se aktuálně děje u nás ve společnosti?

 Sledujte nás na síti Linkedin

 Sledujte nás na síti Twitter

 Sledujte nás na síti Facebook