Zatím se o tom ještě moc nemluví, ale v příštím roce čekají IT opět po čase velké legislativní změny týkající se ochrany osobních údajů. Možná i vás ovlivní evropské nařízení známé pod zkratkou GDPR.
Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation neboli GDPR) je nová ambiciózní legislativa EU, která by měla výrazně zvýšit ochranu osobních dat občanů. Dlužno ale říci, že také výrazně zatíží všechny organizace, které ji budou muset dodržovat. GDPR bylo přijato Evropským parlamentem v dubnu 2016 a platit začíná 25. května 2018. Bude se týkat všech firem a institucí, ale i jednotlivců a on-line služeb, které zpracovávají data uživatelů. Při neplnění zavádí mimo jiné astronomické pokuty ve výši až 20 milionů eur nebo 4 % z celkového ročního celosvětového obratu dané společnosti nebo instituce.
EU vzala novou direktivu opravdu „od podlahy“: po čtyřletém vyjednávání vznikl nejkomplexnější soubor pravidel na ochranu dat na světě. Ochrana dat je tu povýšena na úroveň evropského zákona, který nepotřebuje žádnou další národní implementaci. Datem začátku jeho účinnosti dojde automaticky k harmonizaci pravidel pro všech 28 států EU a další tři přidružené země - bude tedy zrušeno 31 národních zákonů, mezi nimi i náš zákon č. 101/2000 Sb., na ochranu osobních údajů.
Pověřenci pro ochranu osobních údajů
GDPR upravuje přístup a zacházení s osobními údaji výlučně fyzických osob. Řídit se jím budou muset všechny podniky v EU i ty mimo EU, které nabízejí zboží a služby evropským rezidentům. Zatímco současné právo nezavádí žádné povinnosti pro zpracovatele dat, nový zákon už vedle správců dat pamatuje i na ně. Proto bude mít velký dopad na cloudové služby.
Budou posílena práva fyzických osob ohledně přístupu ke svým osobním údajům, jejich oprav, možnosti výmazu a vznesení námitky. Tato práva se budou vztahovat na všechny osobní údaje včetně tzv. nestrukturovaných, tj. uložených například v přílohách k e-mailům a na různých úložištích. Správce, případně zpracovatel bude muset oznámit závažná narušení bezpečnosti osobních údajů dozorovému orgánu do 72 hodin. Pokud narušení může ovlivnit i osoby, jejichž údaje unikly, platí povinnost neprodleně informovat i je.
Správce dat bude povinen kdykoliv prokázat soulad s GDPR a doložit implementaci procedur na ochranu dat. Zákon zavádí pozici tzv. pověřence pro ochranu osobních údajů, který bude pevně zanesen v organizační struktuře firmy. Povinný bude pro veřejné orgány a firmy provádějící systematické monitorování fyzických osob a rozsáhlé zpracování citlivých dat. Je obtížné spíše definovat, koho se nová direktiva týkat nebude.
Zavádění GDPR
GDPR firmy zatím spíše mate: podle čerstvého průzkumu společností Eset a IDC mezi malými a středními firmami v ČR a dalších evropských zemích téměř 78 % z nich postrádá informace o dopadech regulace na jejich organizaci. Implementace pravidel GDPR a plnění role pověřence se nicméně jeví nejen jako hrozba a další starost pro spoustu firem a institucí, ale bude to zároveň velká obchodní příležitost pro systémové integrátory, poskytovatele IT služeb a konzultanty, i vzhledem k tomu, že pozici pověřence bude moci vykonávat pověřená externí osoba nebo firma. Tomáš Hlavsa, konzultant ve společnosti Atos, k tomu říká: „Každá organizace, které se bude GDPR týkat, by si měla hned na začátku položit pět následujících, na první pohled jednoduchých otázek:
1. Jaká osobní data občanů EU máme v držení?
2. Jak citlivá data to jsou?
3. Kde přesně v rámci organizace se data nacházejí?
4. Jak se v rámci organizace pohybují a kam a jakými kanály odcházejí?
5. Jak se s nimi pracuje a komu jsou poskytována?“
Příprava jakékoliv organizace na GDPR by měla kromě datového auditu zahrnovat procesní a právní analýzu a přípravu role pověřence pro ochranu osobních údajů. Více se dozvíte na webech gdpr.cz, cz.atos.net, safetica.cz a dalších. O GDPR pořádá sérii diskusních fór také Svaz průmyslu ČR (spcr.cz).
Nové občanky v ČR
Začátkem března prošel v Poslanecké sněmovně Parlamentu ČR druhým čtením návrh novely zákona 328/1998 Sb., o občanských průkazech. Podle této novely by se v průběhu příštího roku měly začít vydávat (zdarma) nové občanky s čipem, na kterém bude předinstalovaný identifikační certifikát. Na čip v občanském průkazu by mělo být následně možné instalovat další certifikáty a aplikace, přičemž odpůrci argumentují právě malou využitelností certifikátů v praxi a neexistencí vhodných aplikací. Nový standard by umožnil vzdálenou elektronickou identifikaci a byl by uznatelný jako elektronický identifikační prostředek v celé EU. Odpovídá nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce známé pod zkratkou eIDAS.
JOSEF MIKA, autor@chip.cz