Obnovit stránku

Prodloužili jsme pro vás otevírací dobu našich prodejen, abyste mohli dárky letos nakoupit v klidu a bez stresu.

GDPR: vyšší ochrana osobních dat a nové povinnosti pro firmy

Aktualizováno

Firmy, které nakládají s osobními údaji svých zákazníků nebo uživatelů, musí od 25. května reflektovat nové nařízení Evropské unie o jejich ochraně. Co je to GDPR? Jaké podmínky musí nově společnosti splňovat? Máme pro vás všechny důležité informace včetně 4 tipů, jak GDPR implementovat.

i Aktualizace 3. 7. 2019: GDPR a skartovače: Riziko jsou i papírové dokumenty
Co je to GDPR? A máme se ho bát? Marcin Gaczor, zástupce společnosti Kingston, se v našem rozhovoru rozpovídal o chystané revoluci v ochraně osobních dat.
i Rozcestník: GDPR na Alza.cz

Co je GDPR – OBSAH článku

  1. Co je GDPR?
  2. Proč je ochrana osobních údajů důležitá?
  3. GDPR a skartovače: Riziko jsou i papírové dokumenty
  4. 4 tipy, jak se připravit na GDPR
  5. Informační audit pomůže se splněním norem GDPR
  6. DPO (Data Protection Officer)
  7. Jak vám může Alza.cz pomoci se splněním podmínek GDPR?
  8. GDPR a ochrana tištěných dokumentů
  9. Ať vás GDPR nezaskočí

Co je GDPR?

GDPR (General Data Protection Regulation) je nová právní norma Evropské unie, která vstoupila v účinnost 25. května 2018. Trošku krkolomný český překlad zkratky GDPR zní Obecné nařízení o ochraně osobních údajů. Při špatném nakládání s osobními údaji hrozí pokuta až do výše 20 milionů EUR nebo 4 % z ročního obratu firmy. Takto vysoká částka může být likvidační i pro zavedenou firmu s dobrým cashflow.

i Co je to GDPR a pro koho platí? To nejdůležitější včetně odborné literatury najdete u nás.

Proč je ochrana osobních údajů důležitá?

V dnešní době, kdy celá řada vašich osobních údajů leží na serverech mnoha poskytovatelů služeb, je nutné udělat ve všem pořádek. Hlavním smyslem GDPR je umožnit lidem (zákazníkům) kontrolovat svá data. Pokud tedy provozujete například menší e-shop s prodejem kávy, bude nutné i ve vašem případě udělat celou řadu změn v nakládání s údaji zákazníků.

i "Rychlý technologický rozvoj a globalizace s sebou přinesly nové výzvy pro oblast ochrany osobních údajů. Rozsah shromažďování a sdílení osobních údajů významně vzrostl. Technologie umožňují jak soukromým společnostem, tak orgánům veřejné moci využívat při provádění jejich činností osobní údaje v nebývalém rozsahu... Tento vývoj vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu. Fyzické osoby by měly mít možnost kontrolovat své vlastní osobní údaje. Měla by být posílena právní a praktická jistota fyzických osob, hospodářských subjektů a orgánů veřejné moci." (6. a 7. článek Obecného nařízení o ochraně osobních údajů)

Co jsou osobní data z pohledu GDPR?

  • Jméno, email, věk, pohlaví, adresa
  • IP adresa zákazníka včetně kompletního logování pohybu po webu (strávený čas, typ prohlížeče, vyplněné objednávkové formuláře apod.)

Váš zákazník totiž nejprve musí souhlasit s ukládáním těchto dat, ale později může kdykoli požádat o jejich kompletní smazání, případně o export k jinému poskytovali služeb. Z toho je patrné, že i relativně malý soukromník se bude muset postarat o celou řadu technických záležitostí a změnit některé procesy. Například bude nutné provést aktualizaci CMS (Content Management System), na kterém běží prodejní portál. Případně nakoupit nové IT vybavení včetně moderního softwaru.

GDPR a skartovače: Riziko jsou i papírové dokumenty

Při analýze rizik s ohledem na GDPR je potřeba vnímat papírové dokumenty jako mimořádné riziko. Nezamčené a nezabezpečené citlivé papírové dokumenty s obsahem osobních nebo zdravotních údajů zaměstnanců, případně klientů mohou způsobit naprosto shodný incident v oblasti GDPR jako elektronický, obrazový nebo zvukový únik dat.

Pracovní povinnosti a zodpovědnosti zaměstnanců za jakékoli údaje, které firma zpracovává, jsou zde klíčové. Firma musí pro každého zaměstnance stanovit jasná pravidla správného nakládání s elektronickými i tištěnými údaji, které má firma v držení. Taková opatření uvedou v praxi požadavky GDPR týkající se nakládání s údaji. Mezi tato pravidla může patřit například jasné stanovení toho, jak se smí používat tištěné dokumenty obsahující citlivé informace, nebo správného procesu jejich skartování podle toho, jak citlivé jsou údaje, které dokument obsahuje.

Přehled nejlepších skartovaček

Správné a poctivé skartování patří mezi jednu ze sledovaných oblastí z pohledu GDPR. Díky pořízení výkonné a kvalitní skartovačky ušetříte zodpovědným zaměstnancům čas, který mohou věnovat řešení jiných úkolů. V závislosti na velikosti prostředí lze vhodnou volbou skartovacího stroje ušetřit i nějaký ten pracovní úvazek.

Skartování
Výsledek správného skartování.
Hama Premium X12CD

Hama Premium X12CD

Výkonná skartovačka Hama Premium X12CD je nepostradatelným pomocníkem spíše do menší kanceláře. Jedná se o kompaktní skartovač s křížovým řezem, který hravě dokáže skartovat až 12 listů najednou. Zvládne však i bezpečnou likvidaci nosičů CD, DVD nebo platebních karet.

Hama Professional M12CD

Hama Professional M12CD

Do náročnější kanceláře pak můžeme doporučit nejvyšší model Hama Professional M12CD s maximálním stupněm utajení P-5 (velikost výsledného proužku je do 30 mm2). Opět zvládne skartovat až 12 listů najednou a poradí si s mnoha různými digitálními nosiči. Mezi výhody patří koš o objemu 28 litrů a zejména infračervený senzor pro automatické zapnutí a vypnutí skartace.

Peach PS500-70

Peach PS500-70

Komfortní kancelářský skartovač dokáže najednou skartovat až 14 klasických listů papíru. Skartovač si lehce poradí i s likvidací CD/DVD médií, vizitek či platebních karet. Nechybí ani funkce automatického vypnutí při naplnění koše či zpětný chod, který využijete v případě, že se skartovaný objekt zasekne.

4 tipy, jak implementovat GDPR

Čtyři jednoduché kroky, které vám pomohou zabránit úniku citlivých dat pomocí nástrojů Microsoft Bussiness.

Tip 1 – Šifrujte notebook, mobilní telefon nebo tablet

Na každém notebooku/mobilu/PC se nachází mnoho osobních nebo citlivých dat. Pokud zařízení ztratíte nebo vám ho ukradnou, směrnice GDPR požaduje nahlásit únik osobních dat dozorovému úřadu a také osobám, kterých se únik týkal. Když ale data zašifrujete, a tak k nim znemožníte přístup, pak v případě ztráty nebo krádeže nemusíte ztrátu zařízení hlásit. Šifrováním si tedy ušetříte spoustu starostí.

i Operační systém Windows 10 Pro obsahuje nástroj Bitlocker pro šifrování vašeho zařízení i USB disku.

Tip 2 – Zabezpečte firemní email a dokumenty

Velké množství osobních a citlivých údajů si vyměňujeme prostřednictvím dokumentů a e-mailů – objednávky, smlouvy, tabulky s osobními daty, životopisy atd. Proto je potřeba dokumenty a poštu plně zabezpečit proti úniku citlivých dat. Pokud zavedete opatření, jako je zabezpečení přístupu, dvoufaktorová autentizace, šifrování obsahu pošty a komplexní zabezpečení poštovních serverů, zásadně snížíte riziko úniku osobních a citlivých dat a vyhnete se bezpečnostním incidentům, které je podle GDPR potřeba hlásit. Microsoft Office Bussiness Premium vám s tím pomůže.

i Elektronická pošta a úložiště dokumentů v Office 365 pro firmy vám smluvně garantuje dodržování povinností vyplývajících z GDPR. Plně tak zabezpečíte poštu a dokumenty ve firemním prostředí i pro práci mimo kancelář (mobilní zařízení, přístup přes web) včetně zálohy.

Tip 3 – Připravte se na žádost o výmaz osobních údajů     

S GDPR přichází právo na výmaz osobních údajů bez zbytečného odkladu, pokud neexistuje právní důvod pro jejich další zpracování. Běžná praxe ukazuje, že osobní údaje jsou uloženy na mnoha místech (pošta, dokumenty, CRM, ERP atd.). Firmy proto potřebují nástroj, který jim pomůže tento požadavek splnit. Díky funkci eDiscovery, která je přítomná i v základní verzi Office 365 (Business Essentials) je prohledávání všech firemních dokumentů i pošty velmi jednoduché. Snadno tak najdete veškeré výskyty osobních údajů konkrétního klienta, které jsou určené pro výmaz.


Hacking

Tip 4 – Aktualizujte všechny programy

GDPR požaduje, aby každá firma maximálně zabezpečila své systémy a aplikace s osobními informacemi. Pouze aktualizované systémy mohou být bezpečné díky bezpečnostním updatům. Vždy tudíž aktualizujte na nejnovější verzi. Microsoft své Windows pravidelně aktualizuje, a to zejména v oblasti bezpečnosti. Máte tak jistotu, že budete před bezpečnostními hrozbami dobře a včas chráněni.


i Další informace o GDPR najdete na webu GDPR.cz, který se na tuto problematiku zaměřuje, případně je zjistíte na e-mailu prosmb@microsoft.com. Zde vám zkušení odborníci poradí, jak si s novým nařízením poradit pokud možno bezbolestně.

Informační audit pomůže se splněním norem GDPR

Řada společností v současné době významnou část pravidel vyplývajících z GDPR plní. Již dnes totiž řadu povinností nařizuje zákon o ochraně osobních údajů, případně ISO certifikace. Takové subjekty mají výhodu a implementace nařízení GDPR pro ně bude celkově jednodušší.

Co ale ty společnosti, na které se současná úprava nevztahuje? V prvé řadě by měly požádat některou z poradenských firem o provedení informačního auditu. Odborníci projdou procesy ve vaší společnosti a identifikují slabá, respektive problematická místa při nakládání s uživatelskými daty, jež jsou v rozporu s GDPR.

iJak na implementaci GDPR?
Máme pro vás k dispozici elektronickou knížku GDPR – Praktický komentář. Kolektiv autorů se podrobně zabývá množstvím příkladů z praxe, na které každý správce osobních údajů jistě narazí. Tato publikace patří mezi ty vůbec nejlepší na našem trhu.

Při realizaci změn je třeba dbát na minimalizaci negativních dopadů na zákazníky. Ani to však zcela nepůjde, přinejmenším totiž bude třeba oslovit je s žádostí o drobné administrativní úkony. Příkladem může být například nutnost vyžádat si podpis aktualizovaného souhlasu se zpracováním osobních údajů.

DPO (Data Protection Officer)

Chcete nastartovat svoji pracovní kariéru úplně novým směrem? Společně se zavedením GDPR vzniká zcela nová profese Data Protection Officer – pověřenec pro ochranu osobních údajů. Můžeme vám garantovat, že kromě obrovské poptávky na pracovním trhu na vás čeká vysoký plat, ale i poměrně vysoká míra odpovědnosti. Jaké bude vaše poslání? Budete zajišťovat, že společnost nakládá s veškerými osobními údaji (zákazníků, zaměstnanců, partnerů atd.) zcela v souladu s nařízením GDPR. Náplň práce je tedy vhodná pro bezpečnostní IT specialisty s rozšířenou znalostí práva. Pro dosažení statusu DPO je nutné složit přísnou certifikační zkoušku.

Ve kterých případech je nutné zřídit funkci DPO?

  • Zpracování osobních údajů provádí orgán veřejné moci nebo veřejný subjekt
  • Pokud provádíte rozsáhlé zpracování osobních údajů (nemocnice, banky, reklamní agentury, mobilní operátoři, věrnostní programy různých obchodů apod.)
  • Hlavní činností je rozsáhlé zpracování citlivých údajů (údaje o rasovém původu, politických názorech, náboženství nebo zpracování genetických či biometrických údajů, rozsudky v trestních věcech)

Pověřenec DPO musí být v rámci společnosti relativně nezávislá osoba bez možnosti jakéhokoli střetu zájmů. Nemůžete tedy například tuto funkci předat šéfovi IT oddělení, který by v podstatě kontroloval sám sebe. Samozřejmě, nikde se nepíše, že se musí jednat o interního zaměstnance. Pověřence DPO vám mnoho firem nabídne jako externí službu, což může být do určitého množství zpracovávaných dat i výhodnější.

i Základní informace o GDPR najdete na stránkách Úřadu pro ochranu osobních údajů.

Jak vám může Alza.cz pomoci se splněním podmínek GDPR?

Naplnění podmínek GDPR může být pro některé firmy poměrně nákladnou záležitostí. Bude například nutné opustit zastaralé softwarové vybavení, které nevyhovuje zpřísněným požadavkům GDPR na ochranu osobních údajů. Zcela mimo jsou počítače s Windows XP nebo Windows Vista. Microsoft již ukončil jakoukoli podporu a jejich dalším používáním se vystavujete hrozbě tučné pokuty. Stejně tak musíte opustit starý dobrý kancelářský balík Microsoft Office 2007. Podpora skončila 10. 10. 2017. Zastaralý software není navíc ani pod ochranou antivirových programů, které sice odhalí některé hrozby včas, ale určitě neslouží jako záplata na děravou aplikaci.

iMáte stále Microsoft Office 2007?
Doporučeným řešením pro firmy je přechod na Microsoft Office 365 Business Premium, což je moderní programová výbava včetně profesionálního e-mailového řešení Exchange, které je určené pro použití ve firmách. Vše navíc neustále aktualizované a s maximální mírou bezpečnosti.

Pro bezpečné uložení osobních dat budou potřeba i změny na straně vašich firemních serverů, a pokud dosud citlivá data nešifrujete, bude k tomu nutné přistoupit. Možná vám právě proto přijde vhod profesionální datové úložiště typu NAS, na kterém je nasazení šifrování poměrně jednoduchou záležitostí.

Office 3665 na tabletech i telefonech

Office 365 fungují prakticky na každém zařízení. Z pohledu firmy je důležité, že lze například ztracený tablet rychle odstřihnout od přístupu k citlivým dokumentům.

GDPR a ochrana tištěných dokumentů

Pokud jste si do teď mysleli, že GDPR se vztahuje pouze na ochranu osobních údajů ve virtuálním světě, musíme vás vyvést z omylu. Veškeré tiskárny nebo multifunkce by měly být pro splnění přísných podmínek GDPR správně nastavené v souladu s vnitrofiremními procesy. Typické řešení spočívá v používání zabezpečeného tisku jen po autentizaci pomocí osobního PIN kódu, případně přímo přes čipovou kartu. Po vytištění dokumentu však nastane klíčová otázka – kam dokument s citlivými údaji bezpečně uložit?

V ten okamžik bude nutné použít certifikované trezory vyrobené v souladu s GDPR. Bezpečné nakládání s vytištěnými dokumenty tedy představuje další zásadní bod, kterému se musí pečlivě věnovat nejen velké nemocnice, ale i obecní úřad či škola ve vašem městě. Doporučujeme zvážit pořízení nábytkového trezoru s bezpečnostním zámkem. Moderní kancelářský trezor má šikovně řešené vnitřní uspořádání včetně oddělených schránek pro uložení důležitých šanonů.

Ať vás GDPR nezaskočí

GDPR je revoluce v nakládání s osobními daty. Celá řada společností má již z mnoha důvodů nakročeno k bezproblémovému splnění všech norem. U těch ostatních lze očekávat nemalé výdaje spojené s implementací nových procesů. A protože datum 25. 5. 2018 je již za námi, je třeba mít vše v pořádku.

GDPR: Přehled nejdůležitějších odkazů a informací

GDPR směrnice aneb kde najít úplné znění nařízení

Úplné znění nařízení GDPR naleznete na stránkách eur-lex-europa.eu.

GDPR zákon – ČR nestihla schválit adaptační předpis

Česká republika bohužel nestihla schválit zákon definující výjimky k novým pravidlům EU na ochranu osobních údajů. GDPR zde proto platí v úplné, nezměkčené podobě. Dle aktuálních informací by doprovodní zákon měl být schválen na podzim. Aktuální podobu návrhů naleznete na odkazech níže.

GDPR zkratka

GDPR představuje zkratku General Data Protection Regulation neboli Obecného nařízení o ochraně osobních údajů.

GDPR wiki

Vyčerpávající informace na téma General Data Protection Regulation (GDPR) naleznete také na anglické verzi wikipedie.

GDPR česky

Český překlad GDPR ve formátu PDF naleznete na stránkách http://eur-lex.europa.eu/legal-content/CS.

GDPR od kdy?

GDPR vstoupilo v účinnost 25. května 2018.

WEB14