Ochrana osobných údajov je špeciálne v dnešnej dobe veľmi dôležitým elemento, ktorý rezonuje v našej spoločnosti. Pocit súkromia je niečo, čo si každá osoba prísne stráži. Od 25. mája 2018 sa o prísnejšiu kontrolu postará nariadenie Európskej únie GDPR – General Data Protection Regulation.
GDPR
Samotné nariadenie má nahradiť doteraz existujúci zákon o ochrane osobných údajov v rámci Slovenskej Republiky. Dotkne sa všetkých členských štátov Európskej únie a takisto inštitúcií mimo Európy. Takže nová zmena prichádza aj na Slovensko. V zásade sa nový súbor pravidiel týka každého, kto spracúva, uchováva alebo manipuluje s osobnými údajmi. Týkať sa teda bude firiem, zamestnancov, užívateľov, klientov či sprostredkovateľov (právnik, účtovník…).
Čo je to GDPR:
Podstatné informácie
Zmeny, ktoré GDPR prináša v oblasti ochrany osobných dát je potrebné poznať. Až potom je možné spustiť operatívne riešenia a zvoliť stratégiu, ktorou budeme nové opatrenia zavádzať.
- GDPR sa týka všetkých osôb, firiem či inštitúcií, ktoré sa podieľajú na spracúvaní osobných údajov.
- Osobný údaj získal novú definíciu. Po novom ide o akýkoľvek údaj, ktorý by mohol prispieť k identifikácii konkrétnej osoby (IP adresa, cookies, email…).
- Súhlas so spracovaným osobných údajov nesmie byť automatický. Naopak súhlas musí jasne vyjadriť užívateľ (klient). Súhlas zároveň musí byť jasný, konkrétny a musí dať možnosť rozhodovania.
- Podnik má povinnosť vymenovať osobu, ktorá bude zodpovedať za ochranu a spracovanie osobných dát. Ide o tzv. DPO – Data Protection Officer. (zodpovedná osoba)
- PIA alebo Privacy Impact Assessment je systém, ktorý umožňuje podniku odhaliť možný dopad ochrany osobných dát užívateľov vo vedenej databáze. Respektíve, čo by spôsobil prípadný únik dát.
- Ochrana dát musí byť zakotvená už v systéme, respektíve v programe, ktorý je určený pre spracovanie či uchovávanie týchto údajov.
- V prípade úniku je potrebné, aby podnik pochybenie nahlásil najneskôr do 72 hodín od zistenia úniku. Na Slovensku bude pre tento účel vytvorený Úrad na ochranu osobných údajov.
- Pojem jednotný prístup bude definovať, že nariadenie GDPR sa dotýka každého bez ohľadu na to, kde má konkrétna firma sídlo.
- Používateľ môže požiadať o výmaz údajov. V rámci žiadosti môže poskytovateľ rozhodnúť o zamietnutí alebo vyhovení tejto žiadosti.
Príprava na nové nariadenie GDPR
Čas plynie a preto je nutnosťou, aby ste nové podmienky GDPR spĺňali a dodržiavali v celom rozsahu. Preštudovať si všetky potrebné informácie o pripravovanom nariadení by malo byť povinnosťou každého, koho sa GDPR týka. Následne nezostáva nič iné ako informovať personál firmy, aby ste predišli zbytočným komplikáciám. Takisto musí byť určená osoba (DPO), ktorá bude zodpovedať za spracúvanie a ochranu osobných údajov. Rovnako tak bude potrebná dokumentácia osobných dát. V rámci neho bude potrebné do agendy zaznamenávať aj samotný súhlas so spracovaním osobných údajov užívateľov.
Sankcie rapídne vzrástli
Doterajší zákon o ochrane osobných údajov ani z ďaleka nebol v tomto aspekte tak prísnym ako práve nové nariadenie. Porušenie pravidiel je trestané vysokými pokutami až do výšky 20 miliónov eur. Prípadne ide o sumu 4% ročného obratu firmy za posledný rok. Komu pokuty hrozia? Hlavne subjektom, ktoré:
- nedodržia stanovené postupy pri manipulácii s osobnými údajmi,
- porušia povinnosti pri zavádzaní bezpečnostných opatrení,
- nenahlásia prípadný únik osobných dát príslušnému orgánu.
Ako sa pokutám vyhnúť
Samozrejme väčšina firiem bude musieť prejsť výraznými zmenami. Pre mnohé to môže byť zaťažujúce i finančne nákladné, no podstatná je hlavne dôsledná príprava pred samotným zavedením GDPR. Dobrou alternatívou je šifrovanie osobných údajov, čím v prípade úniku predídete problémom i pokutám.
Dôležité je takisto si určiť, na aký účel osobné údaje využívate. V prípade, že disponujete údajmi, ktoré nevyužívate, musíte ich odstrániť. Aby ste vedeli, akými osobnými údajmi disponujete, určite vykonajte audit, kde zistíte všetky potrebné aspekty, ktoré následne môžete GDPR prispôsobiť. Pri ochrane osobných údajov vám pomôže aj osobnyudaj.sk.
*
Podstatné informácie
Zmeny, ktoré GDPR prináša v oblasti ochrany osobných dát je potrebné poznať. Až potom je možné spustiť operatívne riešenia a zvoliť stratégiu, ktorou budeme nové opatrenia zavádzať.
- GDPR sa týka všetkých osôb, firiem či inštitúcií, ktoré sa podieľajú na spracúvaní osobných údajov.
- Osobný údaj získal novú definíciu. Po novom ide o akýkoľvek údaj, ktorý by mohol prispieť k identifikácii konkrétnej osoby (IP adresa, cookies, email…).
- Súhlas so spracovaným osobných údajov nesmie byť automatický. Naopak súhlas musí jasne vyjadriť užívateľ (klient). Súhlas zároveň musí byť jasný, konkrétny a musí dať možnosť rozhodovania.
- Podnik má povinnosť vymenovať osobu, ktorá bude zodpovedať za ochranu a spracovanie osobných dát. Ide o tzv. DPO – Data Protection Officer. (zodpovedná osoba)
- PIA alebo Privacy Impact Assessment je systém, ktorý umožňuje podniku odhaliť možný dopad ochrany osobných dát užívateľov vo vedenej databáze. Respektíve, čo by spôsobil prípadný únik dát.
- Ochrana dát musí byť zakotvená už v systéme, respektíve v programe, ktorý je určený pre spracovanie či uchovávanie týchto údajov.
- V prípade úniku je potrebné, aby podnik pochybenie nahlásil najneskôr do 72 hodín od zistenia úniku. Na Slovensku bude pre tento účel vytvorený Úrad na ochranu osobných údajov.
- Pojem jednotný prístup bude definovať, že nariadenie GDPR sa dotýka každého bez ohľadu na to, kde má konkrétna firma sídlo.
- Používateľ môže požiadať o výmaz údajov. V rámci žiadosti môže poskytovateľ rozhodnúť o zamietnutí alebo vyhovení tejto žiadosti.
Príprava na nové nariadenie GDPR
Čas plynie a preto je nutnosťou, aby ste nové podmienky GDPR spĺňali a dodržiavali v celom rozsahu. Preštudovať si všetky potrebné informácie o pripravovanom nariadení by malo byť povinnosťou každého, koho sa GDPR týka. Následne nezostáva nič iné ako informovať personál firmy, aby ste predišli zbytočným komplikáciám. Takisto musí byť určená osoba (DPO), ktorá bude zodpovedať za spracúvanie a ochranu osobných údajov. Rovnako tak bude potrebná dokumentácia osobných dát. V rámci neho bude potrebné do agendy zaznamenávať aj samotný súhlas so spracovaním osobných údajov užívateľov.
Sankcie rapídne vzrástli
Doterajší zákon o ochrane osobných údajov ani z ďaleka nebol v tomto aspekte tak prísnym ako práve nové nariadenie. Porušenie pravidiel je trestané vysokými pokutami až do výšky 20 miliónov eur. Prípadne ide o sumu 4% ročného obratu firmy za posledný rok. Komu pokuty hrozia? Hlavne subjektom, ktoré:
- nedodržia stanovené postupy pri manipulácii s osobnými údajmi,
- porušia povinnosti pri zavádzaní bezpečnostných opatrení,
- nenahlásia prípadný únik osobných dát príslušnému orgánu.
Ako sa pokutám vyhnúť
Samozrejme väčšina firiem bude musieť prejsť výraznými zmenami. Pre mnohé to môže byť zaťažujúce i finančne nákladné, no podstatná je hlavne dôsledná príprava pred samotným zavedením GDPR. Dobrou alternatívou je šifrovanie osobných údajov, čím v prípade úniku predídete problémom i pokutám.
Dôležité je takisto si určiť, na aký účel osobné údaje využívate. V prípade, že disponujete údajmi, ktoré nevyužívate, musíte ich odstrániť. Aby ste vedeli, akými osobnými údajmi disponujete, určite vykonajte audit, kde zistíte všetky potrebné aspekty, ktoré následne môžete GDPR prispôsobiť. Pri ochrane osobných údajov vám pomôže aj osobnyudaj.sk.