Aktuální číslo časopisu Ekonom
Markéta ŘehákováVe společnostech i veřejných institucích probíhají přípravy na nová evropská pravidla pro ochranu osobních údajů, jež začnou platit v květnu příštího roku. Řada z nich si však není jistá s konkrétním výkladem jednotlivých ustanovení, jež obsahuje nařízení nazvané GDPR (General Data Protection Regulation). Přesné odpovědi na to, jak z firemních systémů správně odstranit veškerá data o konkrétním člověku nebo jak správně upravit smlouvu o zpracování osobních údajů, v legislativě chybí.
Vrchní rada pro vládní agendy ÚOOÚ Miroslava Matoušová, specialista z Rowan Legal Michal Nulíček, pověřenec pro ochranu osobních údajů ČSOB Margit Doležalová, expert KPMG Martin Hladík a moderátor Jaroslav Kramer z HN.
"S blížícím se termínem účinnosti GDPR se stále častěji ozývají kritické hlasy. Poukazují na nízké povědomí správců osobních údajů a jejich neznalost, často za to obviňují stát. Jiní volají po pomoci a srozumitelných návodech, jak postupovat," uvedla předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů na konferenci Osobní údaje 2018, kterou v Praze pořádala společnost Economia a Hospodářské noviny.
Janů zároveň upozornila, že její úřad nemůže pro podniky připravit žádné konkrétní metodiky, protože od května příštího roku bude plnění pravidel sám dozorovat. S výkladem tak mohou firmám pomoci pouze stanoviska expertů z Bruselu sdružených v takzvané pracovní skupině WP29. Sedí zde zástupci dozorových úřadů ze všech členských zemí EU a chystají dokumenty, které mají přípravy na GDPR usnadnit. Zatím poslední vodítka schválila skupina minulý týden. Nyní bude šest týdnů probíhat v členských státech jejich veřejná konzultace. Český úřad je na svém webu zveřejní v nejbližších dnech.
◼ 13. 12.
GDPR a zahraniční firmy
◼ 20. 12.
Neziskovky a GDPR
◼ 27. 12.
Osobní údaje 2018
Jak zůstat transparentní
Například společnosti musí zajistit svým klientům, dodavatelům i zaměstnancům přístup k informacím, které o nich zpracovávají, protože zachování transparentnosti je jedním ze základních principů nařízení. Podle nového vodítka k porušení pravidel dochází, pokud se k osobním údajům dostane osoba, která k nim nemá mít přístup. Problém je také ztráta dostupnosti informací, například kvůli výpadku elektrické energie nebo ztrátě šifrovacího klíče, třeba po útoku hackerů.
"Pokud trvalou nebo dočasnou ztrátu dostupnosti neohlásíte jako bezpečnostní incident, je to porušení pravidel. Zároveň to svědčí o tom, že jste se o bezpečnostním incidentu nedozvěděli, a nemáte tedy zavedená správná technická a organizační opatření, což může vést k sankcím za dvojí porušení," varoval na konferenci Michal Nulíček, specialista na osobní údaje z advokátní kanceláře Rowan Legal.
Akci pořádala společnost Economia ve spolupráci s Rowan Legal, KPMG a Kaspersky Lab.
Podle Nulíčka musí podniky v první řadě přiřadit odpovědnost za řešení takové situace konkrétní osobě nebo speciálnímu firemnímu týmu. Ohlášení incidentu musí proběhnout do 72 hodin od okamžiku, kdy se dozví o porušení zabezpečení.
Některá narušení bezpečnosti se sice hlásit nemusí, jejich vymezení je ale velmi přísné. "Příkladem je ztráta firemního notebooku, kde jsou data zašifrovaná. Ovšem i v takovém případě musíte incident interně zaevidovat," upozornil Nulíček.
Chcete číst dál?
Ještě na vás čeká 40 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později
Připravujeme platbu, vyčkejte prosím.
Platbu nelze provést. Opakujte prosím akci později.Zaujal vás článek? Pošlete odkaz svým přátelům!
Tento článek je zamčený. Na tomto místě můžete odemykat zamčené články přátelům, když si pořídíte předplatné.
Newsletter týdeníku Ekonom.
Odhlásit se můžete kdykoliv.
Přihlášením k newsletteru beru na vědomí, že dochází ke sbírání a zpracování osobních údajů. Více informací o zásadách ochrany osobních údajů naleznete ZDE.
