Gartner: Pět nezbytných kroků při přípravě na GDPR

5. 5. 2017
Doba čtení: 3 minuty

Sdílet

 Autor: © Mopic - Fotolia.com
Analytici z Gartneru varují, že organizace většinou nejsou připravené na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost v květnu 2018. Sestavili proto seznam pěti kroků, které by měl učinit každý správce dat, na něhož se budou nová pravidla vztahovat.

Obecné nařízení o ochraně osobních údajů (GDPR) sice vstoupí v účinnost až za rok, konkrétně 25. 5. 2018, ale podle analytiků ze společnosti Gartner už nastal nejvyšší čas zahájit přípravy. Nepříliš lichotivá prognóza uvádí, že na konci roku 2018 nebude celá polovina (!) příslušných organizací splněny veškeré povinnosti vyplývající z GDPR.

GDPR se nebude vztahovat pouze na organizace v rámci Evropské unie, ale i na správce a zpracovatele dat sídlící mimo ni,“ varoval vedoucí výzkumu Gartneru Bart Willemsen. Organizace by podle něj měly zpozornět, a to nejen kvůli vysokým pokutám, ale také sílící pozici jednotlivých subjektů údajů.

Gartner proto sestavil následující seznam priorit, kterým by se měly dotyčné organizace věnovat.

Definice vlastní pozice v rámci režimu GDPR

Správcem dat ve smyslu GDPR je prakticky jakákoliv organizace, která se dostane do styku s osobními údaji občanů EU bez ohledu na to, zda tato organizace sídlí v EU, nebo ne. Nařízení se tedy vztahuje i na právnické osoby, které v EU nabízejí zboží nebo služby.

Pro organizace, které monitorují chování subjektů údajů v rámci EU, platí totéž. Tyto organizace by podle Gartneru měly pověřit konkrétní osobu, aby sloužila jako kontaktní bod pro příslušné úřady a subjekty údajů.

Jmenování DPO

GDPR zavede pro řadu organizací povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – data protection officer), který bude dohlížet na soulad s novými pravidly. To platí zejména pro veřejné instituce nebo organizace, které provádějí „rozsáhlé zpracovávání“ osobních údajů.

Transparentnost a dohledatelnost

Jednou z největší výzev bude zmapovat veškeré kroky spojené se zpracováváním osobních údajů. Organizace budou podle Gartneru muset nastavit transparentní procesy a také zajistit snadnou dohledatelnost souhlasu subjektu údajů se zpracováním.

GDPR totiž v tomto ohledu vyžaduje poměrně přísnou evidenci spojenou s nutností získat jasný a výslovný souhlas subjektu – předem zaškrtnuté políčko a implicitní souhlas se stane minulostí. Organizacím z toho vnikne poměrně složitá povinnost.

Kontrola přeshraničního přesunu dat

GDPR umožní volně přesouvat osobní údaje v rámci členských států EU a několika dalších zemí. V případě, že však data překročí hranice této zóny, je zapotřebí zajistit jejich ochranu pomocí zvláštních smluv a závazných pravidel.

Evropské organizace by měly podle Gartneru věnovat zvláštní pozornost výběru externích zpracovatelů a zajistit, aby byla zavedena příslušná ochranná opatření. Organizace sídlící mimo EU by pak měly věnovat stejnou pozornost tomu, zda nakládají s údaji občanů EU v souladu s nařízením

bitcoin školení listopad 24

Příprava na subjekty údajů využívající svá práva

Organizace se podle Gartneru musí připravit na to, že GDPR dá subjektům údajů poměrně široká práva, a je třeba očekávat, že jich začnou využívat. Subjekt získá například právo „být zapomenut“ nebo být informován o případném úniku dat. To vše organizacím přinese povinnost zavést další opatření.

Zdroj: Gartner

Čtěte dále

AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Nejširší nabídka ProAV technologií? Najdete ji u EET Group
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT
Karel Diviš: Firmy potřebují jednoho stabilního dodavatele IT