Kybernetická bezpečnost, ochrana dat a informací jsou velmi aktuálním tématem. Společnosti i jednotlivci si stále více uvědomují, že zcizené informace mohou být zneužity a každý systém může být napaden na mnoha úrovních.
S obecným nařízení Evropské unie o ochraně osobních údajů (GDPR) je nutné, aby evropské organizace získaly lepší přehled o toku, využívání a zabezpečení svých dat. Nařízení musí být plně zavedeno do května příštího roku v celém svém rozsahu ve všech státech EU. Změny se dotknou také mzdových účetních a personalistů, kteří s osobními údaji zaměstnanců pracují. GDPR vzniklo jako reakce na technologický pokrok v oblasti informačních a komunikačních technologií.
Zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, případně i pro provedení opatření přijatých před uzavřením smlouvy na žádost těchto subjektů. Většinou se tak bude jednat o zákazníky, dodavatele a jiné osoby, které jsou s Vámi ve smluvním vztahu.
Od 25.5.2018 bude možné jen pracovat s daty lidí, kteří vám k tomu dají svolení. Zaměstnavatel ze zákona zpracovává a shromažďuje určité osobní údaje pro vedení mzdové a personální agendy. Zde se souhlas zaměstnance nevyžaduje.
Hlavní znaky GDPR:
- Rozšiřuje pojem osobních údajů – nově také biometrické prvky (sken oční sítnice).
- Zpřesňuje souhlas se zpracováním osobních údajů – nově zákaz předvyplněných políček.
- Vyžaduje vyšší technickou a organizační bezpečnost správců a zpracovatelů.
- Při rozsáhlém a systematickém zpracování osobních údajů požaduje jmenování pověřence na ochranu osobních údajů.
- Při rizikových zpracování osobních údajů požaduje příchozí provedení posouzení vlivu na ochranu osobních údajů.
- Posiluje stávající práva fyzických osob a zakládá práva nová – právo být zapomenut či právo na přenositelnost údajů.
- Porušení ochrany dat musí být oznámeno do 72 hodin jak fyzické osobě, tak Úřadu pro ochranu osobních údajů.
- Zavádí vyšší sankce za porušení ochrany osobních údajů oproti současnosti (maximálně 10 000 000 korun) bude možné uložit až 20 000 000 eur nebo 4 % celosvětového obratu podniku.
Přísnější podmínky GDPR povedou firmy k tomu, že budou muset revidovat smlouvy a znění dříve udělených souhlasů se zpracováním osobních údajů zaměstnanců. Budou muset uvést rozsah a účel zpracovávaných osobních údajů (nově například souhlas se zpracováním údajů o dětech atd.).
Dále se bude muset minimalizovat objem osobních údajů – budou se průběžně mazat data, která již nejsou nezbytně nutná, nebo pro ně již neplatí souhlas zaměstnance.
Nově se budou muset evidovat záznamy o činnostech zpracování .Záznam má obsahovat název a kontaktní údaje společnosti, důvod zpracování údajů, popis kategorií subjektů a osobních údajů, kategorie organizací, které údaje obdrží, eventuální přenos údajů do jiné organizace či země, lhůtu pro jejich odstranění, popis bezpečnostních opatření uplatňovaných při zpracování. Tyto záznamy budou muset evidovat společnosti zaměstnávající alespoň 250 zaměstnanců.