V květnu 2018 začnou platit nová pravidla pro nakládání s osobními údaji. Dotknou se většiny firem. Za chyby hrozí přísné pokuty.

Tohle datum si určitě zapište do kalendáře. 25. května 2018 začne být účinné nařízení GDPR, které výrazně změní způsob nakládání s osobními údaji. Že vám tato zkratka nic neříká? Tak to byste měli tuplem zpozornět!

GDPR se totiž dotkne prakticky každého, kdo zpracovává osobní údaje, a to ve všech odvětvích. Nezáleží na tom, zda se jedná o bankovní instituce, zdravotnictví, veřejnou správu nebo třeba e-shopy. Cílem nařízení je co nejvíce chránit osobní údaje občanů EU proti jejich zneužívání a poskytnout lidem větší kontrolu nad tím, co se s citlivými informacemi děje.

Pro firmy a instituce to znamená, že budou muset důkladně vyhodnotit, jakým způsobem nyní s osobními údaji zacházejí, a zpravidla také zažité procesy změnit. Pokud by se totiž novými pravidly neřídily, mohlo by to na ně citelně dopadnout. „Pokuta v případě porušení pravidel GDPR může dosáhnout až čtyř procent celkového globálního obratu společnosti za předchozí fiskální rok nebo až 20 milionů eur. A takové ztráty už mohou vést až k samotnému ohrožení existence firmy,“ upozorňuje Milan Habrcetl, expert společnosti Cisco na kyberbezpečnost.

miliony

Dopadům nového nařízení se přitom nevyhnou ani firmy, které sídlí mimo Evropskou unii. V případě, že zpracovávají osobní údaje spotřebitelů z EU v souvislosti s nabídkou zboží nebo služeb, budou se muset GDPR také podřídit.

A jaké změny GDPR přinese?

Například souhlas o zpracování osobních údajů bude muset být formulován tak, aby mu bylo jednoznačně rozumět. Tento souhlas navíc bude muset být při uzavírání smlouvy oddělen tak, aby bylo jasné, že není podmínkou k uzavření smlouvy.

Firmy a instituce budou muset oznámit porušení zabezpečení osobních údajů, a to nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvědí.

Mnohem důkladněji se bude sledovat, zda se zpracovávají pouze ta data, která jsou ke konkrétnímu účelu nezbytná. Dojde také k rozšíření pojmu osobní údaje. Do této kategorie budou patřit i „technická“ data jako e-mailová adresa, IP adresa či cookies.

Mnohé firmy a organizace také vytvoří novou pracovní pozici, a to pověřence pro ochranu osobních údajů.

GDPR není žádnou žhavou novinkou – schváleno bylo už v dubnu 2016. Vzhledem k tomu, jak velkou revoluci v ochraně osobních údajů přináší a jak vysoké pokuty ji doprovázejí, je nejvyšší čas začít se na něj připravovat.