GDPR: Změny v oznamování porušení předpisů na ochranu dat

V dnešním pracovním světě je jen málo činností, které by neobnášely zpracování elektronických dat. Jsou ale podniky dostatečně připraveny na možnost porušení ochrany dat?

Nové obecné nařízení o ochraně osobních údajů (GDPR), jež nabývá platnosti po celé Evropě od 25. května 2018, definuje přesné zásady řešení případů narušení bezpečnosti dat. Podniky si musí dát pozor na to, aby znaly aktuální znění těchto předpisů. K narušení bezpečnosti dat může totiž dojít na úrovni vnitropodnikové, ale i zvenčí, např. v podobě útoku hackerů.

Důsledky narušení bezpečnosti dat mohou být katastrofické a může mezi ně patřit i újma na dobré pověsti z pohledu obchodních partnerů a zákazníků. Osobní informace se již do špatných rukou dostaly opakovaně: příkladem mohou být společnosti pro platební karty, banky či telefonní operátoři.

Doposud měly podniky na základě zákona o ochraně osobních údajů povinnost narušení bezpečnosti údajů okamžitě oznámit, a to Úřadu pro ochranu osobních údajů i postiženým osobám. Za porušení již byly uloženy i pokuty. S účinností od 25. května 2018 se však na základě GDPR požadavky ještě zpřísní.

Například porušení povinnosti oznámit narušení bezpečnosti údajů může být pokutováno částkou ve výši až 1 milion eur. V případě podniků to pak mohou být až 2 % z výše celkového celosvětového ročního obratu za předcházející finanční období, podle toho, která částka je vyšší.

Důležité je vědět, že nařízení GDPR Evropské unie nahradí dosavadní platný zákon o ochraně údajů. Celkovým zpřísněním povinné informovanosti se zajistí vyšší transparentnost.

Podniková sféra se musí k novým předpisům postavit a zabývat se jimi

Zvláštní pozornost je třeba věnovat zejména článkům 33 a 34 nařízení GDPR. Každý z nich stanovuje oznamovací povinnosti v případě narušení bezpečnosti osobních dat. V článku 33 se řeší oznamovací povinnost směrem k orgánům dohledu, zatímco v článku 34 se upravuje povinnost sdělit případ narušení bezpečnosti dat jedincům, kterých se týká.

V minulosti byla oznamovací povinnost v souvislosti s narušením bezpečnosti údajů omezena na případy týkající se citlivých údajů. Podle nových požadavků čl. 33 nařízení GDPR se však vztahuje na veškeré osobní údaje, např. na kontaktní údaje.

Podniky budou muset v budoucnosti věnovat zvýšenou pozornost příslušným běžným postupům a procesům v případě chybových zpráv. Bude třeba, aby zaujaly aktivní přístup a postaraly se o to, aby měly k dispozici aktuální verze nových předpisů a byly seznámeny s jejich zněním.

Účelem je zamezit narušení bezpečnosti dat všeobecně, a to zvýšením pozornosti věnované operacím v rámci informačních technologií a stanovením odpovídajících bezpečnostních opatření. V důsledku narušení může dojít k ohrožení dobré pověsti podniku a k uložení vysokých pokut. A to je úkol, který musí podniková sféra zvládnout na výbornou.