Firmy, které nakládají s osobními údaji svých zákazníků nebo uživatelů, musí dodržovat evropské nařízení o jejich ochraně. Co je to GDPR? Jaké podmínky musí společnosti splňovat? Máme pro vás všechny důležité informace včetně 4 tipů, jak GDPR v praxi naplnit.
GDPR (General Data Protection Regulation) je právní norma Evropské unie, která vstoupila v účinnost 25. května 2018. Trošku krkolomný český překlad zkratky GDPR zní Obecné nařízení o ochraně osobních údajů. Při špatném nakládání s osobními údaji hrozí pokuta až do výše 20 milionů EUR nebo 4 % z ročního obratu firmy. Takto vysoká částka může být likvidační i pro zavedenou firmu s dobrým cashflow.
V dnešní době, kdy celá řada vašich osobních údajů leží na serverech mnoha poskytovatelů služeb, je nutné udělat ve všem pořádek. Hlavním smyslem GDPR je umožnit lidem (zákazníkům) kontrolovat svá data. Pokud tedy provozujete například menší e-shop s prodejem kávy, bude nutné i ve vašem případě dodržovat celou řadu pravidel při nakládání s údaji zákazníků.
Co jsou osobní data z pohledu GDPR?
Váš zákazník totiž nejprve musí souhlasit s ukládáním těchto dat, ale později může kdykoli požádat o jejich kompletní smazání, případně o export k jinému poskytovateli služeb. Z toho je patrné, že i relativně malý soukromník se musí postarat o celou řadu technických záležitostí a upravit některé procesy. Například bude nutné udržovat aktuální CMS (Content Management System), na kterém běží prodejní portál, případně doplnit IT vybavení včetně moderního softwaru.
Při analýze rizik s ohledem na GDPR je potřeba vnímat papírové dokumenty jako mimořádné riziko. Nezamčené a nezabezpečené citlivé papírové dokumenty s obsahem osobních nebo zdravotních údajů zaměstnanců, případně klientů mohou způsobit naprosto shodný incident v oblasti GDPR jako elektronický, obrazový nebo zvukový únik dat.
Pracovní povinnosti a zodpovědnosti zaměstnanců za jakékoli údaje, které firma zpracovává, jsou zde klíčové. Firma musí pro každého zaměstnance stanovit jasná pravidla správného nakládání s elektronickými i tištěnými údaji, které má firma v držení. Taková opatření uvedou v praxi požadavky GDPR týkající se nakládání s údaji. Mezi tato pravidla může patřit například jasné stanovení toho, jak se smí používat tištěné dokumenty obsahující citlivé informace, nebo správného procesu jejich skartování podle toho, jak citlivé jsou údaje, které dokument obsahuje.
i
Aktuálně se v České republice lze setkat s dvojicí stupnic definující požadovanou úroveň ochrany.
Více informací o stupnici DIN a NNI v našem článku, kde najdete podrobný popis jednotlivých stupňů ochrany (P1 až P7, resp. NNI 1 až NNI 4).
Správné a poctivé skartování patří mezi jednu ze sledovaných oblastí z pohledu GDPR. Díky pořízení výkonné a kvalitní skartovačky ušetříte zodpovědným zaměstnancům čas, který mohou věnovat řešení jiných úkolů. V závislosti na velikosti prostředí lze vhodnou volbou skartovacího stroje ušetřit i nějaký ten pracovní úvazek.
LEITZ IQ Home Office P4Kompaktní skartovačka s křížovým řezem je nepostradatelným pomocníkem spíše do menší kanceláře nebo na home office. Skartuje dokumenty ve stupni utajení DIN P4, takže si poradí i s citlivějšími údaji. Zvládne až 10 listů A4 najednou do koše o objemu 23 l, vyniká tichým chodem a technologií proti zaseknutí papíru (Anti-Jam). |
Fellowes 125 CiInteligentní skartovač Fellowes 125 Ci s technologií proti zaseknutí papíru skartuje dokumenty křížovým řezem 4 × 38 mm ve stupni utajení P-4. Bezpečnost skartace navíc potvrzuje certifikát NBÚ. Skartovač zvládne skartovat až 20 listů papíru gramáže 70 g/m2 najednou rychlostí až 4,8 m/min. Kromě toho bez problémů zvládne zlikvidovat dokumenty včetně sponek, plastové karty i CD / DVD disky. |
LEITZ IQ AutoFeed 150 P4Skartovačka s automatickým podavačem papíru, kterou oceníte ve vytíženější kanceláři. Stačí vložit stoh až 150 listů, zavřít víko a pokračovat ve své práci – není potřeba u stroje stát a vkládat jednotlivé listy. Skartuje křížovým řezem ve stupni utajení P-4 do koše o objemu 44 l a zvládne až 30 minut nepřetržitého provozu. Vyniká tichým chodem (55 dB), dotykovým ovládáním a technologií Anti-Jam, která předchází zaseknutí papíru. |
Čtyři jednoduché kroky, které vám pomohou zabránit úniku citlivých dat pomocí nástrojů Microsoftu.
Na každém notebooku/mobilu/PC se nachází mnoho osobních nebo citlivých dat. Pokud zařízení ztratíte nebo vám ho ukradnou, GDPR požaduje nahlásit únik osobních dat dozorovému úřadu a také osobám, kterých se únik týkal. Když ale data zašifrujete, a tak k nim znemožníte přístup, pak v případě ztráty nebo krádeže nemusíte ztrátu zařízení hlásit. Šifrováním si tedy ušetříte spoustu starostí.
Velké množství osobních a citlivých údajů si vyměňujeme prostřednictvím dokumentů a e-mailů – objednávky, smlouvy, tabulky s osobními daty, životopisy atd. Proto je potřeba dokumenty a poštu plně zabezpečit proti úniku citlivých dat. Pokud zavedete opatření, jako je zabezpečení přístupu, dvoufaktorová autentizace, šifrování obsahu pošty a komplexní zabezpečení poštovních serverů, zásadně snížíte riziko úniku osobních a citlivých dat a vyhnete se bezpečnostním incidentům, které je podle GDPR potřeba hlásit. Microsoft 365 vám s tím pomůže.
S GDPR přichází právo na výmaz osobních údajů bez zbytečného odkladu, pokud neexistuje právní důvod pro jejich další zpracování. Běžná praxe ukazuje, že osobní údaje jsou uloženy na mnoha místech (pošta, dokumenty, CRM, ERP atd.). Firmy proto potřebují nástroj, který jim pomůže tento požadavek splnit. Díky funkci eDiscovery, která je přítomná v Microsoftu 365, je prohledávání všech firemních dokumentů i pošty velmi jednoduché. Snadno tak najdete veškeré výskyty osobních údajů konkrétního klienta, které jsou určené pro výmaz.
GDPR požaduje, aby každá firma maximálně zabezpečila své systémy a aplikace s osobními informacemi. Pouze aktualizované systémy mohou být bezpečné díky bezpečnostním updatům. Vždy tudíž aktualizujte na nejnovější verzi. Microsoft své Windows 11 pravidelně aktualizuje, a to zejména v oblasti bezpečnosti. Máte tak jistotu, že budete před bezpečnostními hrozbami dobře a včas chráněni. Pozor ale na konec podpory Windows 10, který nastal 14. října 2025 – po tomto datu už systém nedostává bezpečnostní aktualizace, což přináší zásadní bezpečnostní riziko. Ve světle GDPR se v případě dalšího využívání neaktualizovaného systému vystavujete i nebezpečí pokuty. Pokud váš počítač splňuje požadavky, doporučujeme přejít na Windows 11; jinak zvažte zapojení do programu rozšířených bezpečnostních aktualizací (ESU), případně obměnu hardwaru.
Řada společností dnes významnou část pravidel vyplývajících z GDPR plní. Mnohé povinnosti totiž ukládá i český zákon č. 110/2019 Sb., o zpracování osobních údajů (tzv. adaptační zákon), případně ISO certifikace. Takové subjekty mají výhodu a další úpravy procesů jsou pro ně celkově jednodušší.
Co ale ty společnosti, které dosud nakládání s daty pořádně neošetřily? V prvé řadě by měly požádat některou z poradenských firem o provedení informačního auditu. Odborníci projdou procesy ve vaší společnosti a identifikují slabá, respektive problematická místa při nakládání s uživatelskými daty, jež jsou v rozporu s GDPR.
Při realizaci změn je třeba dbát na minimalizaci negativních dopadů na zákazníky. Ani to však zcela nepůjde, přinejmenším totiž bude třeba oslovit je s žádostí o drobné administrativní úkony. Příkladem může být například nutnost vyžádat si podpis aktualizovaného souhlasu se zpracováním osobních údajů.
Chcete nastartovat svoji pracovní kariéru novým směrem? Spolu s GDPR se etablovala profese Data Protection Officer – pověřenec pro ochranu osobních údajů. Kromě stále trvající poptávky na pracovním trhu na vás čeká i poměrně vysoká míra odpovědnosti. Jaké bude vaše poslání? Budete zajišťovat, že společnost nakládá s veškerými osobními údaji (zákazníků, zaměstnanců, partnerů atd.) zcela v souladu s nařízením GDPR. Náplň práce je vhodná pro bezpečnostní IT specialisty s rozšířenou znalostí práva. Pro dosažení statusu DPO je obvyklé složit certifikační zkoušku.
Ve kterých případech je nutné zřídit funkci DPO?
Pověřenec DPO musí být v rámci společnosti relativně nezávislá osoba bez možnosti jakéhokoli střetu zájmů. Nemůžete tedy například tuto funkci předat šéfovi IT oddělení, který by v podstatě kontroloval sám sebe. Samozřejmě, nikde se nepíše, že se musí jednat o interního zaměstnance. Pověřence DPO vám mnoho firem nabídne jako externí službu, což může být do určitého množství zpracovávaných dat i výhodnější.
Naplnění podmínek GDPR může být pro některé firmy poměrně nákladnou záležitostí. Bude například nutné opustit zastaralé softwarové vybavení, které nevyhovuje požadavkům GDPR na ochranu osobních údajů. Pozor je třeba dát zejména na software bez výrobní podpory: po 14. říjnu 2025 skončila podpora Windows 10 i kancelářských balíků Office 2016 a 2019. Jejich dalším používáním bez bezpečnostních aktualizací se vystavujete hrozbě pokuty. Nepodporovaný software navíc nedokáže plně ochránit ani antivirový program, který sice odhalí některé hrozby včas, ale neslouží jako záplata na děravou aplikaci.
Pro bezpečné uložení osobních dat budou potřeba i změny na straně vašich firemních serverů, a pokud dosud citlivá data nešifrujete, bude k tomu nutné přistoupit. Možná vám právě proto přijde vhod profesionální datové úložiště typu NAS, na kterém je nasazení šifrování poměrně jednoduchou záležitostí.
Pokud jste si do teď mysleli, že GDPR se vztahuje pouze na ochranu osobních údajů ve virtuálním světě, musíme vás vyvést z omylu. Veškeré tiskárny nebo multifunkce by měly být pro splnění podmínek GDPR správně nastavené v souladu s vnitrofiremními procesy. Typické řešení spočívá v používání zabezpečeného tisku jen po autentizaci pomocí osobního PIN kódu, případně přímo přes čipovou kartu. Po vytištění dokumentu však nastane klíčová otázka – kam dokument s citlivými údaji bezpečně uložit?
V ten okamžik bude nutné použít certifikované trezory vyrobené v souladu s GDPR. Bezpečné nakládání s vytištěnými dokumenty tedy představuje další zásadní bod, kterému se musí pečlivě věnovat nejen velké nemocnice, ale i obecní úřad či škola ve vašem městě. Doporučujeme zvážit pořízení nábytkového trezoru s bezpečnostním zámkem. Moderní kancelářský trezor má šikovně řešené vnitřní uspořádání včetně oddělených schránek pro uložení důležitých šanonů.
GDPR je už několik let běžnou součástí provozu firem, které pracují s osobními daty. Většina společností má základní povinnosti zvládnuté – klíčem k bezproblémovému provozu je dnes hlavně průběžná údržba procesů a aktuální, zabezpečený software.
Úplné znění nařízení GDPR naleznete na stránkách eur-lex.europa.eu.
Česká republika přijala adaptační legislativu k GDPR – zákon č. 110/2019 Sb., o zpracování osobních údajů, který nabyl účinnosti 24. dubna 2019 a nahradil dřívější zákon č. 101/2000 Sb., o ochraně osobních údajů. Spolu s ním vstoupil v účinnost také doprovodný zákon č. 111/2019 Sb. Zákon některé oblasti GDPR upřesňuje a zavádí výjimky (například pro práci médií či vědeckých pracovníků).
GDPR představuje zkratku General Data Protection Regulation neboli Obecného nařízení o ochraně osobních údajů.
Vyčerpávající informace na téma General Data Protection Regulation (GDPR) naleznete také na anglické verzi Wikipedie.
Český překlad GDPR ve formátu PDF naleznete na stránkách eur-lex.europa.eu.
GDPR vstoupilo v účinnost 25. května 2018.
