Jarní úklid bude letos důležitější než kdy jindy. Usnadní vám přijetí GDPR

Množství energie, času a peněz, které bude vyžadovat zavedení evropského nařízení zvaného zkráceně GDPR, nemusí být pro internetové obchodníky až tak velké. Spoustu věcí by totiž měli dodržovat už teď. Všechny základní principy a povinnosti týkající se ochrany údajů podle obecného nařízení nejsou novinkou, stanovuje je zákon o ochraně osobních údajů, říká mluvčí Úřadu pro ochranu osobních údajů David Pavlát. Než proto podnikatelé začnou implementovat požadovaná opatření, mají čas dát své vnitřní záležitosti do pořádku podle dnes platného zákona o ochraně osobních údajů.

Méně práce budou mít ti, kteří vědí, kde všude mají uložená data a k čemu a jakým způsobem je používají. GDPR totiž bude od května příštího roku vyžadovat, aby byly firmy shromažďující osobní údaje schopny prokázat jasný a potvrzující souhlas zákazníků – odborně řečeno subjektu údajů – pro zpracování těchto dat. Bez prokázání platných souhlasů budou všechny činnosti spojené se zpracováním těchto osobních údajů zablokovány a firmám hrozí obrovské finanční postihy, které mohou být likvidační.

Mnoho podnikatelů vůbec netuší, kde data má a jak je s nimi nakládáno. Už ve středně velké organizaci se běžně využívá několik CRM systémů. Vzhledem k tomu, že se databáze kopírují, data se exportují, vytváří se kopie kopií a tak dále, naše data jsou reálně rozptýlena všude možně po celém světě a nikdo neví, kde všude a komu jsou k dispozici, upozorňuje Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti s tím, že podnikatelé se neustále věnují především hlavní náplni svého byznysu a data a práci s nimi považují za marginální záležitost. Jenže doba si žádá své. Stávající evropské předpisy na ochranu osobních údajů jsou zastaralé. Vznikly v roce 1995, kdy byl internetový prodej ještě v plenkách a o sociálních sítích nesnil ani tehdy devítiletý Mark Zuckerberg. Dnes si data vyměňujeme mnohonásobně intenzivněji a jejich únik nás může poškodit. To je hlavní důvod, proč je nutné se přizpůsobit vývoji.

GDPR proto obecně reguluje zacházení s jakýmikoli informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Stanovuje povinnosti pro správce i zpracovatele údajů, definuje podmínky, za kterých mohou být takové údaje zpracovávány, stanovuje pro jejich zpracování řadu pravidel a dává subjektům těchto informací řadu práv. Navíc GDPR s konečnou platností jasně definuje síťové identifikátory, jejichž správu bude nutné evropskému nařízení také podřídit. Patří mezi ně například adresy internetového protokolu, identifikátory cookies a další identifikátory zanechávající stopy, které mohou být v kombinaci s jedinečnými identifikátory a dalšími informacemi použity k profilování fyzických osob a k jejich identifikaci.

Čtěte také: Je souhlas s používáním „cookies“ pro české provozovatele webů skutečně nutný?

Mnohé požadavky musíte splňovat už dnes

Podnikatelé musí být schopni zaručit, že pro bezpečnost nashromážděných a legálně získaných dat dělají maximum. Nařízení přímo říká, že s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování, i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce vhodná technická a organizační opatření, jako je pseudonymizace a minimalizace osobních údajů. Správce zajistí, aby byly zpracovávány pouze ty osobní údaje, které jsou pro každý konkrétní účel daného zpracování nezbytné, a to z hlediska množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti.

Některé požadavky je nutné splňovat už dnes a je tedy vhodné se přesvědčit, zda firma v tomto ohledu naplňuje platné paragrafy. Nejprve je proto vhodné provést interní prověrku a zmapovat datové toky. Teprve na základě této analýzy je možné sestavit akční plán a podle něho postupovat dál, říká Lucie Suchánková, partner advokátní kanceláře Pierstone. S nastavením procesů a vnitřních směrnic pak v druhém kroku pomohou poradenské firmy. Základní interní analýzu je podle Aleše Špidly z Českého institutu manažerů informační bezpečnosti schopný provést středoškolsky vzdělaný člověk z oboru IT během 15 až 20 minut. Nejedná se tedy o nic náročného.

Není proto potřeba začít se stresovat a přemýšlet o dalších nutných výdajích. V první řadě je potřeba připomenout si regule dané českým zákonem č. 101/2000 Sb. Na úvod dobře poslouží například Metodika pro splnění základních povinností ukládaných zákonem o ochraně osobních údajů. Dále ve stručnosti připomeňme, že podnikatel provozující internetový obchod by měl mít informace o zpracování osobních údajů ve správném znění uvedené ve svých obchodních podmínkách či v jiném samostatném dokumentu.

Vhodná je i registrace na Úřadu pro ochranu osobních údajů, ačkoli není pro všechny bezpodmínečně nutná. Povinná je pro každého, kdo shromažďuje a zpracovává osobní údaje. Těmi mohou být jméno, příjemní, adresa, telefon, ale v některých případech i pouhá e-mailová adresa či IP adresa. Pokud obchodník údaje od zákazníků používá výhradně jen pro doručení objednaného zboží a tyto údaje následně smaže, tedy je nebude uchovávat, pak se registrovat nemusí. Takových ale bude málo, protože data a kontakty jsou pro internetové obchodníky velmi důležité. Právě díky rozšiřování informačních databází mohou prostřednictvím analytických nástrojů zefektivňovat způsoby jejich využití a samotný prodej.

GDPR neposuzuje, jak je firma velká, ale jak zachází s osobními daty. To je její základní princip, dodává advokátka Lucie Suchánková. Evropské nařízení stanovuje, aby podniky nebo organizace, k jejichž základní činnosti patří pravidelné a systematické monitorování a zpracování velkých objemů osobních dat nebo pracují s dalšími speciálními údaji, které prvky osobních dat vykazují, jmenovaly inspektora pro ochranu osobních údajů. Tato pozice se podle anglického výrazu Data Protection Officer zkráceně nazývá DPO. Například v Německu budou muset mít DPO všechny firmy s více jak deseti zaměstnanci.

Revize správy dat může akcelerovat obchodní potenciál 

Stejně jako například EET, která řadě podnikatelů usnadní práci třeba díky tomu, že si společně s novou kasou pořídili i systém skladového hospodářství, má i GDPR své nesporné pozitivní dopady. Jednoduše řečeno přiměje podnikatele a správce dat udělat si v nashromážděných informacích pořádek. Společnosti budou nuceny udělat si přehled o svých datech a mnohdy objeví i údaje, o kterých doposud neměly ani tušení. Díky nim pak budou schopny vytvářet nové analýzy a využívat je ke svému růstu. Nejde jen o osobní údaje jako takové, ale i o procesy nad nimi. Firmy se po jejich auditu mohou stát efektivnějšími, uvádí Petr Zahálka, security manažer ze společnosti Avnet.

Podnikatelé by tedy měli pohlížet i tak, že GDPR bude znamenat velmi podstatnou změnu pro spotřebitele, ale pro ně samotné to až taková revoluce nebude. Tedy v případě, že naplňují literu současných zákonů a dodržují pravidla informovanosti a souhlasů. Nové požadavky GDPR jsou vlastně jen specifikovanější.

Psali jsme: 7 kroků, jak se vyrovnat s tajemným GDPR, tedy ochranou osobních údajů ponovu

Do začátku platnosti nového evropského nařízení zbývá ještě skoro rok a čtvrt. Pro aplikaci GDPR navíc bude důležitá i novelizace zákona na ochranu osobních údajů, ke které by se vláda měla dostat až těsně ke konci svého funkčního období. A konkrétnější informace zatím neposkytuje ani úřad, který se tím zabývá. Vzhledem k tomu, že Evropská komise teprve nedávno představila k dalšímu projednávání úvodní návrh nařízení o soukromí v elektronických komunikacích – ePrivacy, které bude významným doplňkem GDPR, vyjádříme se k nadcházejícím změnám ve zpracování osobních údajů českým internetovým průmyslem s určitým časovým odstupem, komentuje v tiskovém prohlášení Úřadu pro ochranu osobních údajů jeho mluvčí David Pavlát. Přesto není radno přípravy na toto nové nařízení odkládat. Analýza a náležité uvedení do náležitého stavu si vyžádá svůj čas a je vhodné si tyto povinnosti rozložit.