Děsí vás GDPR?

GDPR, General Data Protection Regulation nebo také česky Obecné nařízení o ochraně osobních údajů. To je v posledních měsících největší strašák českých majitelů e-shopů a marketérů, kteří ve velkém operují s osobními údaji. Všichni se tohoto nařízení bojí, málokdo má ale přesnější představu, o co vlastně jde. Když proniknete do jeho tajů, zjistíte, že se opravdu není čeho obávat.

GDPR je nová legislativa EU, která byla schválena už v dubnu roku 2016. Nějaký čas se o ní ovšem vůbec nemluvilo, všichni ji brali jako jakési nařízení, které jednoho dne vejde v platnost. Teď se ale ta doba blíží, v účinnost vstoupí 25. května 2018, a proto je nejvyšší čas začít se zajímat, koho se GDPR nařízení týká a co pro nás vlastně znamená.

Co je GDPR?

Jak napovídá název „Obecné nařízení o ochraně osobních údajů“ si klade za cíl zlepšit nakládání s osobními údaji. Bude se tedy týkat každého, kdo nějakým způsobem zpracovává či shromažďuje osobní informace Evropanů, a to ať jde o evropskou instituci či společnost mimo EU působící na našem trhu. Podřídit se mu musí veřejná správa, zdravotnictví, bankovní instituce, ale třeba i e-shopy. A právě drobní podnikatelé a provozovatelé e-shopů mají největší strach z toho, že je bude implementace nařízení stát spoustu peněz a času.

Proč ho vlastně potřebujeme?

Naučte se vnímat GDPR ne jako přítěž, nýbrž jako chytrý krok. Doposud se totiž Česko řídilo zákonem na ochranu osobních údajů z roku 1995. V té době neexistovalo nic jako sociální sítě, AI, cloudová úložiště a mnoho dalších technologií, je tedy logické, že směrnice s ničím takovým nepočítala a každý se v těchto ohledech mohl chovat, jak chtěl. Vše bylo v mezích zákona.

Zajímavost: Ani GDPR ale nebude zcela aktuální. Nepočítá s moderními záležitostmi, jako jsou Internet věcí či BYOD (Bring Your Own Device).

Zkuste se na GDPR podívat očima běžného uživatele. Pro toho se spousta věcí změní k lepšímu, už se nebude muset strachovat o své údaje, bude mít možnost požádat o jejich přehled či zapomenutí apod. Osobní data patří v dnešní informační době k tomu nejcennějšímu, co máme.

Co se vlastně změní?

Lidé získají nová práva. Budou moci po správcích údajů vyžadovat vymazání dat, je potřeba jim umožnit přístup ke shromažďovaným údajům, vznést námitku proti zpracování apod. Za osobní údaje jsou přitom chápány nejen rodná čísla, jména apod., ale také IP adresy, cookies, e-maily, genetické i biometrické údaje a vše, co je s nimi propojeno.

Státní instituce a větší firmy (orgány veřejné moci, společnosti, jejichž hlavní činností je zpracování informací) budou muset mít svého pověřence pro ochranu osobních údajů (DPO z anglického Data Protection Officer). Ten bude napomáhat s realizací všech postupů a také kontrolovat, zda vše probíhá tak, jak by mělo.

Velkou změnou je rovněž oznamovací povinnost. Pokud bude narušena bezpečnost, bude subjekt muset tento únik či ohrožení do 72 hodin ohlásit Úřadu pro ochranu osobních údajů. V určitých situací budou informovány i subjekty, o jejichž údaje se jednalo. EU si od toho slibuje, že se vyhneme případům, kdy se lidé o úniku jejich osobních dat dozvídali až po několika letech.

Jak se k tomu celému jako firma postavit?

Nejdůležitější je detailně se informovat, co je GDPR a co pro vás vlastně znamená. Pravděpodobně si pak najmete odborníka, který vám se vším pomůže, nicméně je dobré mít aspoň trochu tušení, o čem se mluví. Je možné, že se vás nařízení třeba ani týkat nebude. Odvíjí se to od činnosti i velikosti společnosti. Opět je dobré obrátit se na profesionály a nechat je, ať vaši situaci zhodnotí.

Podcenit GDPR se nevyplácí, sankce nejsou zrovna nízké. V případě porušení může pokuta dosáhnout až 20 000 000 eur nebo 4 % z ročního obratu (vyšší z těchto možností). Závisí ovšem na spoustě faktorů, takže se nebojte, že by pro vás nějaká drobná chyba v implementaci nařízení byla likvidační.

Je potřeba mít strach?

Rozhodně ne. GDPR je nařízení jako každé jiné, s nímž se bez problémů vyrovnáte. Nebude vás stát spoustu peněz ani úsilí. Vyhledejte si na internetu informace, navštivte nějaké školení či konferenci, kde se o problému mluví, a vyhledejte odbornou pomoc. Začněte třeba tím, že si přečtete český text nařízení GDPR s komentářem: https://lepsi-reseni.cz/ochrana-osobnich-udaju-gdpr/.

Pokud se příliš neorientujete v oblasti práva, je dost možné, že ani po přečtení celého nařízení nebudete o moc moudřejší. Mějte ale na paměti, že nejste jediní, kdo musí řešit GDPR. Lidí jako vy je jenom v České republice spousta. A také je tady dost takových, kteří vám pomohou. Nechte si zpracovat GDPR audit, získejte certifikaci a ukažte, že splňujete veškeré požadavky. Pravděpodobně na to uslyší i zákazníci, hlavně pokud se jedná o významnější osoby či firmy. Všichni budou chtít, aby jejich údaje byly v bezpečí.