Podobné informace obsahuje i šestý bod vyhlášení Úředního věstníku Evropské unie, kterým EU přijímá „Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)“. Celý tento dokument se nazývá General Data Protection Regulation (GDPR). Jde o velmi zásadní dokument, který bude mít dopad na všechny instituce, právnické osoby i podnikající fyzické osoby. V dubnu 2017 uplynul přesně rok od přijetí tohoto dokumentu - do jeho aplikace tedy zbývá pouze dvanáct měsíců.
Cílem GDPR je chránit „subjekt údajů“
Co vlastně GDPR znamená v praxi? Hlavním smyslem tohoto nařízení je chránit „subjekt údajů“, tedy toho, kdo poskytuje své osobní údaje. Nařízení hlídá, aby poskytnutí konkrétních údajů bylo odvolatelné. Tedy pokud řeknete/sdělíte/poskytnete někomu své telefonní číslo, tak abyste měl právo toto poskytnutí odvolat a dotyčný subjekt jej nemohl dále využívat. Nařízení se zaměřuje také na ochranu dětí, které neberou v úvahu důsledky, které mohou při poskytnutí údajů nastat. Počítá ale i s jednáním dospělých, kteří například neodolají reklamě, na základě které poskytnou své údaje, a nemyslí v ten okamžik na možná rizika.
Jakou úlohu hraje správce a zpracovatel dat
V rámci nařízení existují tři pojmy (ne zcela nové): „Správce dat“ a „zpracovatel dat“. Správcem dat je subjekt, který data shromažďuje pro nějaký účel. Typickým příkladem je sběr emailů pro zasílání novinek či registrace v eshopu za účelem nákupu apod. Zpracovatelem dat se myslí ten, kdo data zpracovává - kdo je ukládá, vyhledává v nich, třídí je nebo maže. Ve většině případů jde o správce počítačové sítě či provozovatele cloudového řešení. Třetím pojmem je „subjekt údajů“ - fyzická osoba, o které zpracovatel data sbírá a správce dat s nimi pracuje. Jedná se o všechny údaje, které identifikují nebo mohou identifikovat konkrétní fyzickou osobu např. i přes jiný subjekt – jiného zpracovatele či správce dat. Tedy např. jméno, příjmení, datum narození, věk, rodné číslo, pohlaví, osobní stav, fotografie, IP adresy zařízení, emailová adresa, bydliště, číslo klubové karty a další. Správce i zpracovatel pak musí být schopen věrohodně prokázat, že má od daného subjektu souhlas se zpracováním jeho dat. Také pak nesmí po subjektu požadovat data, která nejsou pro konkrétní účel nutná. Tedy nesmí po subjektu chtít např. jeho fotografii, jestliže se jedná např. o provedení rekonstrukce koupelny. A v neposlední řadě není možná ani přenositelnost takových souhlasů, tedy sdílení těchto dat.
Práva a povinnosti spojené s regulací pro ochranu osobních dat
Úplnou novinkou však je, že zpracovatel či správce dat musí subjektu na základě jeho žádosti umožnit přístup k datům (ideálně online), které jsou o něm zpracovávány. Navíc má subjekt právo na editaci/výmaz/úplné zapomenutí takových údajů nebo dokonce přenos údajů k jinému správci dat.
Další takovou novinkou je i zabezpečení dat. Organizace bude muset zřídit pozici Data Protection Officer (DPO), která bude zodpovědná za zabezpečení dat v organizaci. Mezi základní úlohy DPO bude patřit odpovědnost za samotné zabezpečení dat či kontrolu oprávnění přístupů k datům a reporting. Tato osoba by měla být interně nezávislá, aby mohla provádět interní audit. Bude odpovědná za eskalaci přestupků na příslušné úřady a samotné subjekty. Tato role je velmi podobná roli ISMS manažera, ale lehce rozšiřuje jeho povinnosti.
Firmám hrozí pokuty
Jednou ze známých věcí kolem GDPR jsou také pokuty. Jejich strop činí 20 mil. eur či 4 % z celkového ročního obratu firmy. V tomto případě bude záležet na tom, která částka bude vyšší. Pokuty budou záviset na klasifikaci dat, která unikla. Výhodu tak budou mít firmy, které mají zavedeno ISMS nebo ISO27001 a s klasifikací dat již pracují.
Jak se chránit proti krádeži dat
Samotná implementace ochrany dat může být pro řadu firem finančně velmi nákladná a následné pokuty mohou být až likvidační. Nabízí se tak otázka, v čem lze firmám nyní pomoci...? Z pohledu krádeže či ztráty dat může být určitou jistotou či prevencí cloud, ale samozřejmě ne ve všech případech. Budou nutné úpravy aplikací, ve kterých jsou údaje skladovány – počínaje právy, možnostmi nahlížení či editací dat konče. Ve spoustě případů může pomoci automatizace např. při sbírání dat nebo zasílání rekapitulací spravovaných dat daných subjektů.
Zatím se jedná o velmi stručné shrnutí této problematiky, kterou se dále budeme zabývat. Je potřeba např. objasnit, zda se tato informace týká všech organizací. V dalším příspěvku se můžete těšit na několik doporučení, jak se na GDPR připravit.