Obecné nařízení o ochraně osobních údajů (GDPR) sice vstoupí v účinnost až za rok, konkrétně 25. 5. 2018, ale podle analytiků ze společnosti Gartner už nastal nejvyšší čas zahájit přípravy. Nepříliš lichotivá prognóza uvádí, že na konci roku 2018 nebude celá polovina (!) příslušných organizací splněny veškeré povinnosti vyplývající z GDPR.
„GDPR se nebude vztahovat pouze na organizace v rámci Evropské unie, ale i na správce a zpracovatele dat sídlící mimo ni,“ varoval vedoucí výzkumu Gartneru Bart Willemsen. Organizace by podle něj měly zpozornět, a to nejen kvůli vysokým pokutám, ale také sílící pozici jednotlivých subjektů údajů.
Gartner proto sestavil následující seznam priorit, kterým by se měly dotyčné organizace věnovat.
Definice vlastní pozice v rámci režimu GDPR
Správcem dat ve smyslu GDPR je prakticky jakákoliv organizace, která se dostane do styku s osobními údaji občanů EU bez ohledu na to, zda tato organizace sídlí v EU, nebo ne. Nařízení se tedy vztahuje i na právnické osoby, které v EU nabízejí zboží nebo služby.
Pro organizace, které monitorují chování subjektů údajů v rámci EU, platí totéž. Tyto organizace by podle Gartneru měly pověřit konkrétní osobu, aby sloužila jako kontaktní bod pro příslušné úřady a subjekty údajů.
Jmenování DPO
GDPR zavede pro řadu organizací povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – data protection officer), který bude dohlížet na soulad s novými pravidly. To platí zejména pro veřejné instituce nebo organizace, které provádějí „rozsáhlé zpracovávání“ osobních údajů.
Transparentnost a dohledatelnost
Jednou z největší výzev bude zmapovat veškeré kroky spojené se zpracováváním osobních údajů. Organizace budou podle Gartneru muset nastavit transparentní procesy a také zajistit snadnou dohledatelnost souhlasu subjektu údajů se zpracováním.
GDPR totiž v tomto ohledu vyžaduje poměrně přísnou evidenci spojenou s nutností získat jasný a výslovný souhlas subjektu – předem zaškrtnuté políčko a implicitní souhlas se stane minulostí. Organizacím z toho vnikne poměrně složitá povinnost.
Kontrola přeshraničního přesunu dat
GDPR umožní volně přesouvat osobní údaje v rámci členských států EU a několika dalších zemí. V případě, že však data překročí hranice této zóny, je zapotřebí zajistit jejich ochranu pomocí zvláštních smluv a závazných pravidel.
Evropské organizace by měly podle Gartneru věnovat zvláštní pozornost výběru externích zpracovatelů a zajistit, aby byla zavedena příslušná ochranná opatření. Organizace sídlící mimo EU by pak měly věnovat stejnou pozornost tomu, zda nakládají s údaji občanů EU v souladu s nařízením
Příprava na subjekty údajů využívající svá práva
Organizace se podle Gartneru musí připravit na to, že GDPR dá subjektům údajů poměrně široká práva, a je třeba očekávat, že jich začnou využívat. Subjekt získá například právo „být zapomenut“ nebo být informován o případném úniku dat. To vše organizacím přinese povinnost zavést další opatření.
Zdroj: Gartner
