V květnu 2018 vstoupí v platnost nové nařízení o ochraně osobních údajů, které je v celé EU známé jako GDPR (General Data Protection Regulation). Mezi firmami, a to nejen v ČR, se vyskytují takové, které jsou už zodpovědně připravené. Pak je malá skupina těch, jež vlastně GDPR nehodlají moc řešit. A zbytek se nařízení skrývajících se pod tou záhadnou zkratkou GDPR obává. Možné sankce jsou skutečně vysoké, ovšem strach je zbytečný. Ještě je dost času přistoupit k celé záležitosti zodpovědně.

Málokdo dnes vlastně tuší, co konkrétně bude od následujícího května jinak. Zato všichni moc dobře vědí, že sankce se mohou vyšplhat až ke 20 000 000 EUR či 4 % ročního obratu firmy. Nikdo dnes nedokáže říct, zda budou pokuty skutečně až tak přísné. Místo toho, kolik by v případě porušení musely zaplatit, by se však firmy měly starat raději o to, jak se chovat podle nových GDPR nařízení.

Kdo by se měl vlastně o GDPR zajímat?

GDPR nařízení se vztahují na všechny firmy, jež nějakým způsobem zpracovávají osobní data. Může jít o informace o zaměstnancích, dodavatelích či klientech. Sami tedy logicky usoudíte, že se GDPR bude muset podřídit většina firem z různých sektorů. Výjimkou jsou podniky s méně než 250 zaměstnanci, pro ty některá zařízení platit nebudou. Tedy za předpokladu, že nezpracovávají velký objem dat a neprovádí s nimi rizikové činnosti. Kdo si není jistý, do jaké skupiny spadá, může požádat o GDPR audit. Odborníci mu pomohou zjistit, zda a v jaké formě se na něj nové nařízení vztahuje.

A když už mluvíme o těch osobních datech, nutno podotknout, že se jejich seznam podstatně rozšířil. Nařízení GDPR je moderní a zahrnuje například IP adresu, e-mailovou adresu či cookies.

Co je potřeba do května 2018 změnit?

Nenechte se vyděsit, spoustu věcí, o nichž GDPR mluví, už nejspíš děláte. Mnoho jich je ale nových. Asi nejdůležitější změnou je, že lidé musí mít přístup k informacím, které o nich uchováváte, a mohou kdykoliv požádat, abyste je uchovávat přestali, když už k tomu není žádný důvod. Zajímavostí je nutnost nahlásit každé odcizení údajů nejpozději do 72 hodin, a to jak Úřadu pro ochranu osobních údajů, tak majitelům těchto informací. Díky tomu už se nebude stávat, že se o odcizení dat dozvíme s několikaročním zpožděním, jako tomu bylo loni u Yahoo.

Kde vzít informace?

Celé znění GDPR je k dispozici česky, najdete ho různě na internetu. Po ČR také probíhají školení na toto téma, své služby nabízí i odborníci. Možnou cestou je rovněž GDPR certifikace, v rámci níž vám auditor pomůže doladit procesy, systémy i kodexy, aby odpovídaly GDPR směrnici. Takový certifikát může navíc u zákazníků a obchodních partnerů vybudovat dojem důvěry.

Důležité je začít jednat. GDPR se vyhnout nelze a čím déle budete strkat hlavu do písku, tím bude pak příprava náročnější.