Nové pravidlá o ochrane osobných dát

Napísal Slávka Habrmanová 29. jún 2017

Budúci rok začnú v EÚ platiť nové pravidlá o ochrane osobných dát. Na čo by sa mali firmy a organizácie už teraz sústrediť? Nová regulácia EÚ, týkajúca sa ochrany osobných údajov je pomerne zložitá.

comp 06 1200x800

Prinášame preto 10 kľúčových zásad, ktoré by si firmy a organizácie mali osvojiť, aby pravidlám GDPR vyhoveli. General Data Protection Regulation (GDPR) začne platiť najneskôr od 25. mája 2018. Pre slovenské firmy a organizácie je preto na čase, aby sa začali na jednotlivé požiadavky pripravovať.

1. GDPR platí pre všetky firmy
GDPR platí pre všetky firmy a organizácie na celom svete, ktoré pracujú s dátami občanov EÚ. Je to v podstate prvý prípad, kedy Európska únia presadzuje princípy ochrany osobných údajov svojich občanov vo zvyšku sveta.
V praxi to znamená, že každá firma či organizácia i mimo EÚ, ktorá pracuje s dátami, ktoré nejakým spôsobom súvisia s občanmi EÚ, musí dodržiavať zásady a požiadavky regulácie GDPR, ktorá má globálnu pôsobnosť. Spracovatelia dát by mali spozornieť. Dáta občanov EÚ získavajú globálnu ochranu.

2. GDPR rozširuje definíciu významu osobných dát
Definícia významu ochrany osobných dát bola vždy pomere široká. Nová regulácia ide ešte ďalej tým, že rozširuje oblasť, čo pod osobné dáta patrí.
Najmä tie časti firemných IT, ktoré neboli v minulosti pri ochrane dát zohľadnené, by si mali zaistiť, aby novým požiadavkám vyhoveli. GDPR totiž po novom zahŕňa akékoľvek dáta, ktoré vedú k identifikovaniu osobných dát jednotlivcov. To teraz zahŕňa informácie týkajúce sa napríklad genetiky, duševného zdravia, kultúrnej, ekonomickej a sociálnej situácie.
Podľa názoru odborníkov by dnes máloktorá spoločnosť vyhovela prísnym nárokom nového zákona, a preto cesta k ich dosiahnutiu bude pre firmy a organizácie pomerne zložitá.

3. GDPR sprísňuje pravidlá pre získanie platného súhlasu s použitím osobných údajov
Firmy a organizácie budú musieť byť schopné ukázať platný súhlas k použitiu osobných informácií.
Organizácie potrebujú zaistiť, aby voči klientom v žiadosti o súhlas používali jednoduchý a zrozumiteľný jazyk. Aby bolo jasné, ako a na čo vlastne chcú informácie využívať. Klienti naopak musia pochopiť, že nečinnosť a mlčanie už nepredstavuje súhlas s využitím ich osobných údajov.
GDPR ďalej vyžaduje, aby firmy a organizácie zhromažďujúce osobné údaje mohli preukázať jasný a potvrdzujúci súhlas pre spracovanie týchto dát. Väčšinu súčasných mechanizmov na získanie súhlasu nebude možné pod GDPR využiť.
V budúcnosti bude teda pre firmy a organizácie ešte dôležitejšie než inokedy, aby presne vysvetlili, aké osobné údaje zbierajú, ako ich budú spracovávať a využívať. Bez platných súhlasov potom budú všetky činnosti spojené so spracovaním osobných údajov zo strany úradov zablokované.

4. GDPR požaduje menovanie inšpektora ochrany údajov (DPO – Data Protection Officer)
GDPR vyžaduje, aby orgány štátnej správy, ktoré spracovávajú osobné informácie, menovali inšpektora pre ochranu osobných údajov (DPO – Data Protection Officer). Rovnako takto profilovanú pozícii budú musieť obsadiť podniky či organizácie, ktorých základné činnosti patria pravidelné a systematické monitorovanie a spracovanie veľkých objemov osobných dát alebo pracujú s ďalšími špeciálnymi údajmi, ktoré prvky osobných dát vykazujú.
Podľa odhadov profesijných organizácií tak bude Európa v najbližších dvoch rokoch potrebovať okolo 28-tisíc odborníkov k obsadeniu pozícií DPO. To pocítia najmä v Nemecku, kde túto pozíciu budú musieť zriadiť firmy s viac ako 10 zamestnancami. Pritom tieto pomerne malé firmy, ktoré majú často ešte menší počet zamestnancov, spracovávajú osobné dáta desať tisícov ľudí. Riziko je teda vyššie, než vo väčšej firme.
Princípom GDPR mimo iného je, že neposudzuje, ako je firma veľká, ale ako zachádza s osobnými dátami. Preto každá firma či organizácia bude musieť pozíciu DPO zriadiť. Tá potom bude zaisťovať, že firemné procesy, aktivity a systémy súvisiace so spracovaním dát budú v súlade so zákonom.

5. GDPR zavádza povinné PIA – Privacy Impact Assessment
GDPR zavádza povinné posúdenie dopadov na súkromie klientov, tzv. PIA – privacy impact assessment. Tento nástroj je určený pre identifikáciu a vyhodnotenie rizík o ochrane osobných údajov v celom životnom cykle vývoja softwaru alebo systému.
GDPR požaduje, aby PIA vykonali správci údajov tam, kde je riziko narušenia súkromia vysoké a je teda potrebné riziká zneužitia údajov súkromných subjektov minimalizovať. Potom to bude znamenať, že firmy a organizácie, ktoré pripravujú projekty zahrnujúce prácu s osobnými dátami, budú musieť prostredníctvom svojich DPO vykonať posúdenie rizík narušenia súkromia. Tým sa ešte pred zahájením prác dá zistiť, či pripravované projekty sú v súlade s požiadavkami GDPR.

6. GDPR zavádza podmienku oznámení úniku dát pre všetkých
Naprieč Európou GDPR harmonizuje rôzne zákonné pravidlá pre hlásenie narušenia či únik dát. Rovnako tak sa zameriava na to, aby tiež organizácie narušenie dát a následný únik osobných údajov nepretržite monitorovali.
Nariadenie vyžaduje, aby postihnutá firma či organizácia informovala úrad pre ochranu osobných údajov o úniku najneskôr 72 hodín po zistení. Ďalej musia firmy a organizácie zaistiť procesy a technológie, ktoré im umožnia únik odhaliť, zareagovať a zaistiť nápravu.
Pre firmy to bude znamenať, aby si zaistili tréning manažérov a zamestnancov. Rovnako to bude vyžadovať uskutočnenie zmien v interných zásadách zabezpečenia dát a zaistiť ich zavedenie do firemnej praxe. Účelom je zaistiť rýchle odhalenie úniku dát, rozpoznanie príčin a následnú nápravu.

7. GDPR zavádza právo byť zabudnutý
GDPR zavádza veľmi reštriktívne, vymáhateľné princípy spracovania dát. Jedným z nich je princíp minimalizácie údajov, ktorý vyžaduje, aby organizácia nedržala údaje dlhšie, než je nevyhnutne nutné. Zároveň nesmie meniť spôsob využitia dát s ohľadom na účel, pre ktorý boli pôvodne zhromaždené. Pokiaľ by organizácia takú zmenu chcela urobiť, musí si pred týmto úkonom vyžiadať od majiteľa dát nový súhlas.
Z pohľadu firmy a organizácie to znamená, že musí mať k dispozícii procesy a technológie, ktoré zaistia zmazanie osobných dát subjektov ako reakciu na jeho žiadosť.

8. GDPR rozširuje zodpovednosť správcu údajov osobných dát
Zodpovednosť za spracovanie údajov ležala dosiaľ na registrovaných správcoch údajov. GDPR teraz túto zodpovednosť rozširuje na všetky organizácie, ktorých sa spracovanie osobných údajov akýmkoľvek spôsobom dotýka.
GDPR teda po novom pokrýva akékoľvek ďalšie firmy a organizácie, ktorých správcovia údajov poskytujú ďalšie služby spracovania údajov. Znamená to teda, že i firmy, ktoré sú čisto poskytovatelia služieb spracovania dát a pracujú s osobnými dátami, budú musieť jednať v súlade s pravidlami ako je napríklad minimalizácia údajov čiže právo byť zabudnutý.

9. GDPR vyžaduje ochranu súkromia už v návrhu systému
GDPR požaduje, aby ochrana osobných údajov bola zahrnutá už v počiatočných fázach návrhov informačných systémov pre spracovanie osobných údajov. To znamená, že software, systémy a procesy, ktoré vznikajú, musia vyhovovať princípom ochrany súkromia.
Napríklad účinné vymazanie informácií je niečo, s čím sa pri vývoji dnešného softwaru často nepočíta. V budúcnosti ale akýkoľvek software bude musieť byť schopný požadované dáta úplne vymazať.

10. GDPR zavádza koncept jednotného prístupu
Vďaka vyššej tolerancii v ochrane osobných údajov bolo Írsko obľúbené pre veľké americké korporácie ako je Google alebo Microsoft.
Takéto zvýhodnenie ale zmizne s nástupom platnosti GDPR. Potom v každej krajine EÚ môže úrad na ochranu osobných údajov prijať nápravné opatrenia proti spoločnostiam, bez ohľadu na to, kde majú sídlo. Tieto opatrenia môžu byť tiež významne podporené pokutami až do výšky 20 miliónov € alebo 4 % z ročného celosvetového obratu. Vďaka tomu firmy budú riešiť veci len s jedným orgánom dohľadu namiesto s lokálnym regulátorom účinným pre každú krajinu.
Predkladatelia zákona vidia zjednodušenie a uvoľnenie agendy a komunikácie jednak pre firmy, ale zároveň pre občanov EÚ. Tieto budú môcť svoju sťažnosť a podnet predkladať na akomkoľvek úrade pre ochranu údajov podľa vlastného výberu.

Napísať komentár

Uistite sa, že všetky požadované (*) polia ste vyplnili. HTML kód nie je povolený.