Evropský parlament schválil návrh novely zaměřené na ochranu soukromých dat. Pokud projde zbytkem schvalovacího procesu a vejde v platnost, bude to pro firmy podnikající v rámci EU (aniž by zde musely sídlit) znamenat řadu nových změn a také hrozbu velmi vysokých pokut za případné porušení nové legislativy.
Firma bude moci být pokutována buď do výše 100 milionů eur, případně 5 % globálního obratu, bude-li toto číslo vyšší.
Porušením se přitom rozumí například nepovolené vyvedení dat mimo EU nebo nákládání s nimi jiným způsobem, než uvádí ustanovení o soukromí té které firmy. Zaveden má být i limit 24 hodin pro nahlášení úniku, přičemž překročení této lhůty by muselo být odůvodněno.
Firmy nad 250 zaměstnanců budou navíc povinny zavést pozici data protection officer (DPO - ředitel ochrany dat).
Nová legislativa dále počítá se zavedením národních kontaktních bodů, jejichž účelem bude, aby firma vedla komunikaci jen jedním kanálem a naopak případně nemusela jednat s každou z členských zemí. Tímto kontaktním bodem by měl být domácí regulátor.
Odborníci radí najít využití pro nové povinnosti
„Tyto požadavky vytváří politici a jejich definice přiměřené bezpečnosti se může lišit od názoru podniků. Je nesmírně důležité, aby se odborníci na soukromí seznámili s novými požadavky a pochopili je,“ uvedl Sam Pfeile z organizace International Association of Privacy Professionals (IAPP).
IAPP firmám doporučuje, aby v případě platnosti nové legislativy nezaváděly pozici DPO coby formální splnění podmínek, ale aby ji naopak pojaly jako strategickou funkci, která může najít uplatnění například v procesech vývoje nových produktů.
Ke stejnému účelu organizace doporučuje zavést pracovní skupiny zaměřené na soukromí dat, a to pro všechny fáze vývoje produktů nebo služeb.
Firmy si podle IAPP musí dále uvědomit, že bezpečnost dat se nerovná jejich soukromí. Mnoho firem se zaměřuje pouze na boj s úniky dat, přičemž nová legislativa je bude nutit jít nad tento rámec a vzít v potaz, že k porušení soukromí může dojít i tehdy, když data vůbec neopustí podnik.
IT společnosti budou muset dát pozor na to, že každý vyhledávač, sociální síť nebo cloudové úložiště bude potřebovat povolení od národního regulátora, než vypustí data občana EU mimo hranice Unie.
Nová legislativa přinese podle mezinárodní asociace mobilních operátorů GSMA potíže společnostem pracujícím v tomto segmentu a telekomunikacích obecně.
Schválení Evropským parlamentem však neznamená definitivní platnost novely. Dalším článkem schvalovacího procesu je Evropská rada.
Zdroj: IDG News Service
