GDPR: vyšší ochrana osobních dat a nové povinnosti pro firmy

Co je GDPR – OBSAH článku

1. Co je GDPR?
2. Proč je ochrana osobních údajů důležitá?
3. GDPR a skartovače: Riziko jsou i papírové dokumenty
4. 4 tipy, jak se připravit na GDPR
5. Informační audit pomůže se splněním norem GDPR
6. DPO (Data Protection Officer)
7. Jak vám může Alza.cz pomoci se splněním podmínek GDPR?
8. GDPR a ochrana tištěných dokumentů
9. Ať vás GDPR nezaskočí

Co je GDPR?

GDPR (General Data Protection Regulation) je nová právní norma Evropské unie, která vstoupila v účinnost 25. května 2018. Trošku krkolomný český překlad zkratky GDPR zní Obecné nařízení o ochraně osobních údajů. Při špatném nakládání s osobními údaji hrozí pokuta až do výše 20 milionů EUR nebo 4 % z ročního obratu firmy. Takto vysoká částka může být likvidační i pro zavedenou firmu s dobrým cashflow.

Proč je ochrana osobních údajů důležitá?

V dnešní době, kdy celá řada vašich osobních údajů leží na serverech mnoha poskytovatelů služeb, je nutné udělat ve všem pořádek. Hlavním smyslem GDPR je umožnit lidem (zákazníkům) kontrolovat svá data. Pokud tedy provozujete například menší e-shop s prodejem kávy, bude nutné i ve vašem případě udělat celou řadu změn v nakládání s údaji zákazníků.

Co jsou osobní data z pohledu GDPR?

• Jméno, email, věk, pohlaví, adresa
• IP adresa zákazníka včetně kompletního logování pohybu po webu (strávený čas, typ prohlížeče, vyplněné objednávkové formuláře apod.)

Váš zákazník totiž nejprve musí souhlasit s ukládáním těchto dat, ale později může kdykoli požádat o jejich kompletní smazání, případně o export k jinému poskytovali služeb. Z toho je patrné, že i relativně malý soukromník se bude muset postarat o celou řadu technických záležitostí a změnit některé procesy. Například bude nutné provést aktualizaci CMS (Content Management System), na kterém běží prodejní portál. Případně nakoupit nové IT vybavení včetně moderního softwaru.

GDPR a skartovače: Riziko jsou i papírové dokumenty

Při analýze rizik s ohledem na GDPR je potřeba vnímat papírové dokumenty jako mimořádné riziko. Nezamčené a nezabezpečené citlivé papírové dokumenty s obsahem osobních nebo zdravotních údajů zaměstnanců, případně klientů mohou způsobit naprosto shodný incident v oblasti GDPR jako elektronický, obrazový nebo zvukový únik dat.

Pracovní povinnosti a zodpovědnosti zaměstnanců za jakékoli údaje, které firma zpracovává, jsou zde klíčové. Firma musí pro každého zaměstnance stanovit jasná pravidla správného nakládání s elektronickými i tištěnými údaji, které má firma v držení. Taková opatření uvedou v praxi požadavky GDPR týkající se nakládání s údaji. Mezi tato pravidla může patřit například jasné stanovení toho, jak se smí používat tištěné dokumenty obsahující citlivé informace, nebo správného procesu jejich skartování podle toho, jak citlivé jsou údaje, které dokument obsahuje.

Přehled nejlepších skartovaček

Správné a poctivé skartování patří mezi jednu ze sledovaných oblastí z pohledu GDPR. Díky pořízení výkonné a kvalitní skartovačky ušetříte zodpovědným zaměstnancům čas, který mohou věnovat řešení jiných úkolů. V závislosti na velikosti prostředí lze vhodnou volbou skartovacího stroje ušetřit i nějaký ten pracovní úvazek.

LEITZ IQ Home Office P4 Výkonná skartovačka Hama Premium X12CD je nepostradatelným pomocníkem spíše do menší kanceláře. Jedná se o kompaktní skartovač s křížovým řezem, který hravě dokáže skartovat až 12 listů najednou. Zvládne však i bezpečnou likvidaci nosičů CD, DVD nebo platebních karet. 3 139 Kč

Fellowes 125 Ci Inteligentní skartovač Fellowes 125 Ci s technologií proti zaseknutí papíru skartuje dokumenty křížovým řezem 4 × 38 mm ve stupni utajení P-4. Bezpečnost skartace navíc potvrzuje certifikát NBÚ. Skartovač zvládne skartovat až 20 listů papíru gramáže 70 g/m2 najednou rychlostí až 4,8 m/min. Kromě toho bez problémů zvládne zlikvidovat dokumenty včetně sponek, plastové karty i CD / DVD disky. 14 609 Kč

LEITZ IQ AutoFeed 150 P4 Mimořádně tichá skartovačka s automatickým podavačem papíru, která nebude rušit vás ani vaše okolí během soustředěné práce. Stačí vložit stoh papíru, zavřít víko a pokračovat ve své práci. Není potřeba u skartovacího stroje stát a vkládat do něj jednotlivé listy papíru. Technologie automatického podavače Autofeed vám ušetří až 98 % času ve srovnání s manuální skartací. Skartovač disponuje kompaktními rozměry, které uvítáte nejen při práci na home office, ale i v kanceláři. Skartace s křížovým řezem zajistí spolehlivou likvidaci dokumentů s důvěrnými údaji. Automatická skartovačka Leitz IQ Autofeed 150 P4 má výkonný indukční motor a technologii Anti-Jam, která předchází zaseknutí papíru ve skartovači. 10 290 Kč

4 tipy, jak implementovat GDPR

Čtyři jednoduché kroky, které vám pomohou zabránit úniku citlivých dat pomocí nástrojů Microsoft Bussiness.

Tip 1 – Šifrujte notebook, mobilní telefon nebo tablet

Na každém notebooku/mobilu/PC se nachází mnoho osobních nebo citlivých dat. Pokud zařízení ztratíte nebo vám ho ukradnou, směrnice GDPR požaduje nahlásit únik osobních dat dozorovému úřadu a také osobám, kterých se únik týkal. Když ale data zašifrujete, a tak k nim znemožníte přístup, pak v případě ztráty nebo krádeže nemusíte ztrátu zařízení hlásit. Šifrováním si tedy ušetříte spoustu starostí.

Tip 2 – Zabezpečte firemní email a dokumenty

Velké množství osobních a citlivých údajů si vyměňujeme prostřednictvím dokumentů a e-mailů – objednávky, smlouvy, tabulky s osobními daty, životopisy atd. Proto je potřeba dokumenty a poštu plně zabezpečit proti úniku citlivých dat. Pokud zavedete opatření, jako je zabezpečení přístupu, dvoufaktorová autentizace, šifrování obsahu pošty a komplexní zabezpečení poštovních serverů, zásadně snížíte riziko úniku osobních a citlivých dat a vyhnete se bezpečnostním incidentům, které je podle GDPR potřeba hlásit. Microsoft 365 vám s tím pomůže.

Tip 3 – Připravte se na žádost o výmaz osobních údajů     

S GDPR přichází právo na výmaz osobních údajů bez zbytečného odkladu, pokud neexistuje právní důvod pro jejich další zpracování. Běžná praxe ukazuje, že osobní údaje jsou uloženy na mnoha místech (pošta, dokumenty, CRM, ERP atd.). Firmy proto potřebují nástroj, který jim pomůže tento požadavek splnit. Díky funkci eDiscovery, která je přítomná i v základní verzi Office 365 je prohledávání všech firemních dokumentů i pošty velmi jednoduché. Snadno tak najdete veškeré výskyty osobních údajů konkrétního klienta, které jsou určené pro výmaz.

Tip 4 – Aktualizujte všechny programy

GDPR požaduje, aby každá firma maximálně zabezpečila své systémy a aplikace s osobními informacemi. Pouze aktualizované systémy mohou být bezpečné díky bezpečnostním updatům. Vždy tudíž aktualizujte na nejnovější verzi. Microsoft své Windows 11 pravidelně aktualizuje, a to zejména v oblasti bezpečnosti. Máte tak jistotu, že budete před bezpečnostními hrozbami dobře a včas chráněni. Pozor ale na konec podpory Windows 7 – začátkem roku 2020 totiž došlo k ukončení pravidelných aktualizací sedmiček, což přináší zásadní bezpečnostní riziko. Navíc ve světle GDPR se v případě dalšího využívání Win7 vystavujete i nebezpečí pokuty.

Informační audit pomůže se splněním norem GDPR

Řada společností v současné době významnou část pravidel vyplývajících z GDPR plní. Již dnes totiž řadu povinností nařizuje zákon o ochraně osobních údajů, případně ISO certifikace. Takové subjekty mají výhodu a implementace nařízení GDPR pro ně bude celkově jednodušší.

Co ale ty společnosti, na které se současná úprava nevztahuje? V prvé řadě by měly požádat některou z poradenských firem o provedení informačního auditu. Odborníci projdou procesy ve vaší společnosti a identifikují slabá, respektive problematická místa při nakládání s uživatelskými daty, jež jsou v rozporu s GDPR.

Při realizaci změn je třeba dbát na minimalizaci negativních dopadů na zákazníky. Ani to však zcela nepůjde, přinejmenším totiž bude třeba oslovit je s žádostí o drobné administrativní úkony. Příkladem může být například nutnost vyžádat si podpis aktualizovaného souhlasu se zpracováním osobních údajů.

DPO (Data Protection Officer)

Chcete nastartovat svoji pracovní kariéru úplně novým směrem? Společně se zavedením GDPR vzniká zcela nová profese Data Protection Officer – pověřenec pro ochranu osobních údajů. Můžeme vám garantovat, že kromě obrovské poptávky na pracovním trhu na vás čeká vysoký plat, ale i poměrně vysoká míra odpovědnosti. Jaké bude vaše poslání? Budete zajišťovat, že společnost nakládá s veškerými osobními údaji (zákazníků, zaměstnanců, partnerů atd.) zcela v souladu s nařízením GDPR. Náplň práce je tedy vhodná pro bezpečnostní IT specialisty s rozšířenou znalostí práva. Pro dosažení statusu DPO je nutné složit přísnou certifikační zkoušku.

Ve kterých případech je nutné zřídit funkci DPO?

• Zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt
• Pokud provádíte rozsáhlé zpracování osobních údajů (nemocnice, banky, reklamní agentury, mobilní operátoři, věrnostní programy různých obchodů apod.)
• Hlavní činností je rozsáhlé zpracování citlivých údajů (údaje o rasovém původu, politických názorech, náboženství nebo zpracování genetických či biometrických údajů, rozsudky v trestních věcech)

Pověřenec DPO musí být v rámci společnosti relativně nezávislá osoba bez možnosti jakéhokoli střetu zájmů. Nemůžete tedy například tuto funkci předat šéfovi IT oddělení, který by v podstatě kontroloval sám sebe. Samozřejmě, nikde se nepíše, že se musí jednat o interního zaměstnance. Pověřence DPO vám mnoho firem nabídne jako externí službu, což může být do určitého množství zpracovávaných dat i výhodnější.

Jak vám může Alza.cz pomoci se splněním podmínek GDPR?

Naplnění podmínek GDPR může být pro některé firmy poměrně nákladnou záležitostí. Bude například nutné opustit zastaralé softwarové vybavení, které nevyhovuje zpřísněným požadavkům GDPR na ochranu osobních údajů. Zcela mimo jsou počítače s Windows XP nebo Windows Vista. Microsoft již ukončil jakoukoli podporu a jejich dalším používáním se vystavujete hrozbě tučné pokuty. Stejně tak musíte opustit starý dobrý kancelářský balík Microsoft Office 2007. Podpora skončila 10. 10. 2017. Zastaralý software není navíc ani pod ochranou antivirových programů, které sice odhalí některé hrozby včas, ale určitě neslouží jako záplata na děravou aplikaci.

Pro bezpečné uložení osobních dat budou potřeba i změny na straně vašich firemních serverů, a pokud dosud citlivá data nešifrujete, bude k tomu nutné přistoupit. Možná vám právě proto přijde vhod profesionální datové úložiště typu NAS, na kterém je nasazení šifrování poměrně jednoduchou záležitostí.

GDPR a ochrana tištěných dokumentů

Pokud jste si do teď mysleli, že GDPR se vztahuje pouze na ochranu osobních údajů ve virtuálním světě, musíme vás vyvést z omylu. Veškeré tiskárny nebo multifunkce by měly být pro splnění přísných podmínek GDPR správně nastavené v souladu s vnitrofiremními procesy. Typické řešení spočívá v používání zabezpečeného tisku jen po autentizaci pomocí osobního PIN kódu, případně přímo přes čipovou kartu. Po vytištění dokumentu však nastane klíčová otázka – kam dokument s citlivými údaji bezpečně uložit?

V ten okamžik bude nutné použít certifikované trezory vyrobené v souladu s GDPR. Bezpečné nakládání s vytištěnými dokumenty tedy představuje další zásadní bod, kterému se musí pečlivě věnovat nejen velké nemocnice, ale i obecní úřad či škola ve vašem městě. Doporučujeme zvážit pořízení nábytkového trezoru s bezpečnostním zámkem. Moderní kancelářský trezor má šikovně řešené vnitřní uspořádání včetně oddělených schránek pro uložení důležitých šanonů.

Ať vás GDPR nezaskočí

GDPR je revoluce v nakládání s osobními daty. Celá řada společností má již z mnoha důvodů nakročeno k bezproblémovému splnění všech norem. U těch ostatních lze očekávat nemalé výdaje spojené s implementací nových procesů. A protože datum 25. 5. 2018 je již za námi, je třeba mít vše v pořádku.