Již 25. 5. 2018 vejde v platnost dlouho připravovaná legislativa EU, která organizacím specifikuje nová pravidla pro nakládání s osobními údaji klientů, potenciálních zákazníků, dodavatelů či zaměstnanců. Cílem tohoto nařízení je ochrana digitálních práv obyvatel Evropské unie. Směrnice se vztahuje na data osob napříč všemi segmenty a odvětvími.

Co jsou to osobní údaje?

Mezi osobní údaje patří například: jméno, adresa, geografická poloha, elektronický identifikátor (průkaz totožnosti v digitálním prostředí), zdravotní údaje, příjem, kulturní profil a další.
Se zvyšující se mírou digitalizace je mnohem jednodušší sbírat data o jednotlivých uživatelích, často nás ani nenapadne, čemu se neopatrným sdílením informací o své osobě můžeme vystavit. Vstřícně vyplňujeme kolonky e-shopů, používáme nejrůznější věrnostní karty, odpovídáme na rozličné ankety, plníme sociální sítě záležitostmi svého soukromého života. Naše informace jsou zatím rozmělněné u dílčích správců těchto databází, ale hrozba toho, že se veškeré údaje o konkrétním člověku spojí v jeden ucelený obraz, je děsivá a čím dál víc aktuální. Tomuto riziku se snaží zákonodárci zabránit určením mezí pro získávání a uchovávání osobních údajů, tedy v rámci GDPR (General Data Protection Regulation).

Koho se GDPR týká?

GDPR se netýká jen institucí, nýbrž i jednotlivců či online služeb, které pracují s daty uživatelů – např. těch, kteří sledují či analyzují chování lidí na webu při používání aplikací nebo chytrých technologií. Další skupinou jsou prodejné databáze, díky nimž marketéři cíleně oslovují příjemce reklamy dle věku, pohlaví, zájmů, profese a dalších kritérií. Balíčky kontaktů byly vždy cenným artiklem jeho vlastníka, pro jejich další využití však bude nutné znovuobnovení souhlasu v rámci regulí GDPR, a to vědomým zaškrtnutím svolení se zasíláním obchodních sdělení. Pokud toto vlastník databáze nezíská, musí kontakty smazat. Mnoho firem může na tomto pozbýt předmětu svého podnikání.

Kdo je „Data Protection Officer“?

Firmy, které jednají jako správci údajů (nebo zaměstnávají více než 250 osob), by měly v rámci úspěšného zvládnutí GDPR zřídit pozici nezávislého „pověřence pro ochranu osobních údajů“ (Data Protection Officer), který by zodpovídal za to, že bude mít společnost vše dobře nastavené a průběžně dodržuje nařízení GDPR. Pověřenec bude také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů. Zřízení pozice DPO se týká rovněž menších firem, které zpracovávají osobní údaje: 1) jako veřejný orgán; 2) jako svou hlavní činnost spočívající v operacích pravidelného a systematického sledování subjektů – např. sledování on-line chování uživatelů; 3) z oblasti citlivých kategorií (zdravotní data, biometrické údaje, trestní rejstřík atd. Tento odborník by měl znát prostředí IT, jelikož GDPR je spojeno se zavedením digitalizace dokumentů, ty jsou pak elektronickou formou zpracovávány, uchovávány a skartovány. Pokud firma nemá povinnost DPO mít, přesto by měla pověřit určitou osobu či oddělení, které bude mít nová nařízení ohledně správy osobních údajů na starosti.

Co je „princip doložitelné odpovědnosti“?

Mezi povinnosti GDPR patří takzvaný princip doložitelné odpovědnosti (accountability), což znamená průběžnou dokumentaci o dodržování regulí GDPR a schopnost doložení plnění těchto pravidel. Toto opatření se týká firem nad 250 zaměstnanců (menších jen v případě zpracovatelů citlivých údajů, státních organizací a firem sledujících on-line chování).

Finanční dopady GDPR

Je třeba si uvědomit, že agenda GDPR bude nemalou měrou zatěžovat firemní rozpočet. Bude nutné investovat do potřebného softwaru a zaplatit lidský faktor pro jeho implementaci či doprovodné poradenství. Projeví se také vyšší personální náklady – v případě povinnosti pozice DPO. Všechny zmíněné výdaje mohou být pro menší firmy likvidační. Náklady na GDPR budou firmy pravděpodobně rozpouštět do svých produktů či služeb, což bude mít za následek jejich zdražování a s tím související menší konkurenceschopnost evropských firem vůči východním (např. asijským), kterých se evropské nařízení netýká (dotkne se však společností a institucí mimo území EU, které na evropském trhu působí).

Nevystavujete se pokutě?

Splnění všech požadavků GDPR je během na dlouhou trať, kdo ještě s GDPR nezačal, lhůtu dozajista nestihne, je třeba alespoň sestavit plán a zahájit příslušné firemní procesy. Pokud kontrolní orgány po 25. 5. 2018 zjistí, že je firma v systematickém zodpovědném procesu zavádění GDPR, nebude postižena takovými sankcemi jako v případě, že s opatřeními ještě nezačala. A jaká je výše pokuty? Pokud by společnost nebyla schopna doložit svůj soulad s GDPR, vystavuje se riziku sankce až do výše 20 milionů EUR nebo 4 % z celosvětového obratu skupiny za předchozí finanční rok, podle toho, která částka bude vyšší. Dle průzkumu společnosti Gartner nebude do konce roku 2018 v plném souladu s nařízením GDPR cca 50 % firem.

Kde hledat pomoc s GDPR?

Vzhledem k nárokům GDPR na informační systémy jsou pro firmy klíčovými partnery IT dodavatelé a integrátoři, jelikož příslušná opatření není možné zvládnout jinou než elektronickou/softwarovou cestou. Společnost IXTENT je připravena Vám v této problematice pomoci, změníme Váš podnik v digitální a nastavíme Vám potřebné elektronické procesy ke splnění směrnic GDPR.

Co je předpokladem úspěšného zvládnutí GDPR?

„Je důležité zavést opatření retenční politiky, kvůli pravidelné a řízené skartaci. Data by neměla být uchovávána déle než je pro splnění účelu nutné,“ říká Roman Knapp, obchodní ředitel IXTENT s.r.o. Je tedy třeba: definovat politiku ohledně nastavení retenčních lhůt na všechny nosiče osobních údajů zpracovávaných v organizaci; nastavit a používat administrativní a IT procedury v souladu s touto politikou; zajistit, aby informace o bývalých zákaznících, zaměstnancích či obchodních partnerech byly pravidelně a rutinně mazány ze systémů.
Schéma retenční politiky:

Víte, že osobní údaje se nachází i na faktuře či dodacím listu?

Osobní informace jsou uložené v různých formátech: obchodní a pracovní komunikace obsahuje nestruktované informace v dokumentech, naopak obchodní procesy vytvářejí strukturovaná data. Osobní údaje obsahují například: HR záznamy, logistické dokumenty, smlouvy a objednávky, marketingové materiály, data výběrových řízení, data dodavatelsko-odběratelského řetězce. Tato data musí být vymazána poté, co důvod pro jejich uložení pominul.

Jaký software pro GDPR vybrat?

Pro tyto účely je vhodný takzvaný Records Management, součást platformy OpenText, nástroj pro řízení životního cyklu nestrukturovaných informací (umožňuje vytváření archivačních plánů, nastavení retenční politiky, aplikaci „zmrazení“ dat, vyhledávání veškerých archivovaných informací). Platforma je ideálním pracovním prostředím pro Records Managera/Data Protection Officera), který má mít v rámci firmy GDPR na starosti, umožní mu nastavení jednotlivých pravidel a kompletní politiky, správu retenčních period, vyhledávání a „zmrazení“ dat či reporting.

Rozšiřujícím doplňkem tohoto softwaru je Ixtent Smart Document Flow, který v souvislosti s GDPR umožňuje užitečné nadstavbové funkce jako např. určení pravidel automatického výmazu dokumentů; logický i fyzický výmaz dokumentů; jednoduché nastavení práv pro jednotlivé skupiny dokumentů či uživatelů atd.

Shrnutí

EU svými novými nařízeními směřuje k podpoře digitalizace. Z pohledu GDPR je nutné pamatovat i na osobní údaje obsažené v dokumentech, ne jen v databázích. Ixtent je technologicky připraven na požadavky GDPR právě v oblasti dokumentů, a to nástrojem OpenText Records Management, který je základní součástí platformy pro správu dokumentů. Předpokladem úspěšné implementace GDPR je přechod na elektronickou verzi dokumentů. Řešení IXTENT je schopné zabezpečit různé zdroje nestrukturovaných dat a informací. Komplexní pokrytí požadavků GDPR zajistíme ve spolupráci se systémovým integrátorem (nadstavbou Ixtent Smart Document Flow). Pro úvodní i následné právní konzultace zprostředkujeme odborníka na právní otázky GDPR.

Poptejte u nás ještě dnes spolehlivé řešení, které Vám zaručí úspěšné zvládnutí směrnice GDPR!