Na GDPR budeme připraveni

GDPR je zkratka, které se jako ekonom, marketér, IT specialita nebo manažer nevyhnete. Označuje General Data Protection Regulation, tedy Obecné nařízení o ochraně osobních údajů.

GDPR se zdá být jako revoluční novinka, která vstupuje do evropského práva. Ve skutečnosti jde spíše o evoluční prvek, který dále posiluje ochranu osobních dat. Tu u nás už od roku 1992 řešil zákon o ochraně osobních údajů v informačních systémech. Ten plně nahradil nový zákon o ochraně osobních údajů z roku 2000.

A tato norma, podle které se řídí Úřad pro ochranu osobních údajů (ÚOOÚ), není zdaleka bezzubá. Příkladem může být květnová pokuta pro společnost EURYDIKAPOL za šíření nevyžádaných obchodních sdělení, která dosáhla rekordní výše 4,25 milionu korun. „K této prozatím nejvyšší částce dospěl úřad na základě zhodnocení podaných stížností, jichž obdržel okolo 700. Tato nevyžádaná obchodní sdělení byla zasílána opakovaně po dobu téměř jednoho roku,“ sdělila předsedkyně ÚOOÚ Ivana Janů.

I když tedy ochrana osobních dat u nás letos slaví čtvrtstoletí a sankce mohou být citelné, díky své komplexnosti, evropské platnosti i postihům zajišťuje GDPR vyšší standard. Pozitiva, která toto nařízení přináší zaměstnancům a klientům – fyzickým osobám, však způsobují těžkou hlavu členům managementu firem. A nejsou to pouze ony zmiňované marketingové společnosti nebo call centra, ale také instituce, nemocnice a firmy všeho druhu. Pod hrozbou často likvidačních sankcí si musí každá společnost udělat inventuru v datech a do budoucna nastavit všechny svoje procesy tak, aby se maximálně předešlo jejich zneužití.

Nové pojmy

Zpracováním osobních dat se myslí jakákoliv operace s osobními údaji, která se provádí pomocí automatizovaných postupů (shromáždění, zaznamenání, uspořádání, uložení, přizpůsobení, vyhledávání, použití, zpřístupnění přenosem, šíření, seřazení, kombinování, výmaz atd.). Za tzv. subjekt údajů se považuje fyzická osoba, které se osobní údaje týkají. Správcem osobních údajů je pak subjekt, který rozhoduje o účelech a prostředcích zpracování (tedy například zaměstnavatel). Takzvaným zpracovatelem je subjekt, kterého si správce najímá, aby pro něj pracoval s osobními údaji (třeba externí účetní firma).

GDPR navíc zavádí několik nových povinností nad rámec současné úpravy o ochraně osobních dat. Jde zejména o posouzení vlivu na ochranu osobních údajů, povinnost evidovat záznamy o činnostech zpracování, předchozí konzultace, ohlašování případu porušení zabezpečení ÚOOÚ a také danému člověku či v některých případech ustavení pověřence pro ochranu osobních údajů.

Co je důležité vědět o GDPR

Text nařízení, ale také přibližně dvě desítky souvisejících dokumentů najdete na oficiálním webu www.eur-lex.eu. Veškerá legislativa a související soubory jsou v češtině, stačí jen do vyhledávače na stránkách zadat klíčový termín GDPR. Informace můžete čerpat také z webu ÚOOÚ.

Podnikové systémy budou připraveny

Kolem GDPR je dost diskusí, protože panuje i mnoho nejasností. Problém spočívá v tom, že chybí důležité výklady a stanoviska příslušných orgánů. Uživatelé informačních podnikových systémů by měli mít situaci jistější, protože dodavatel ERP zahrne změny už do systému a aktualizací. „Situace se každým týdnem vyjasňuje a my průběžně pracujeme na tom, aby zákazníci měli ve svém systému včas implementovány všechny potřebné funkcionality vztahující se k GDPR,“ říká Martin Kudrna, jednatel společnosti Byznys software, která má v ČR a SR více než 1100 instalací podnikového systému Byznys ERP.