Každá firma na Slovensku by mala spozornieť. Z Bruselu prichádzajú nové pravidlá upravujúce ochranu osobných údajov. Účinnosť novej legislatívy General Data Protection Regulation (GDPR) síce začína v máji 2018, no vzhľadom na komplexnosť zmien sa už dnes treba na ňu začať pripravovať. Prinášame preto 10 kľúčových faktov, ktoré by ste mali o GDPR vedieť.
General Data Protection Regulation (GDPR) začne platiť od 25. mája 2018. Pre slovenské firmy a organizácie je preto na čase, aby sa začali na jednotlivé požiadavky pripravovať.
GDPR platí pre všetky firmy
GDPR platí pre všetky firmy a organizácie na celom svete, ktoré pracujú s dátami občanov EÚ. Je to v podstate prvý prípad, kedy Európska únia presadzuje princípy ochrany osobných údajov svojich občanov vo zvyšku sveta.
V praxi to znamená, že každá firma či organizácia i mimo EÚ, ktorá pracuje s dátami, ktoré nejakým spôsobom súvisia s občanmi EÚ, musí dodržiavať zásady a požiadavky regulácie GDPR, ktorá má globálnu pôsobnosť. Spracovatelia dát by mali spozornieť. Dáta občanov EÚ získavajú globálnu ochranu.
GDPR rozširuje definíciu významu osobných dát
Definícia významu ochrany osobných údajov bola vždy pomere široká. Nová regulácia ide ešte ďalej tým, že rozširuje oblasť, čo pod osobné dáta patrí. Najmä tie časti firemných IT, ktoré neboli v minulosti pri ochrane dát zohľadnené, by si mali zaistiť, aby novým požiadavkám vyhoveli. GDPR totiž po novom zahŕňa akékoľvek údaje, ktoré vedú k identifikovaniu osobných dát jednotlivcov. To teraz zahŕňa informácie týkajúce sa napríklad genetiky, duševného zdravia, kultúrnej, ekonomickej a sociálnej situácie.
Podľa názoru odborníkov by v súčasnosti máloktorá firma vyhovela prísnym nárokom novej legislatívy, a preto cesta k ich dosiahnutiu bude pre firmy a organizácie pomerne zložitá.
Viac o osobných údajoch podľa GDPR nájdete v článku Čo je to osobný údaj podľa GDPR a aké dôsledky má ich spracúvanie?
GDPR sprísňuje pravidlá pre získanie platného súhlasu s použitím osobných údajov
Firmy a organizácie budú musieť byť schopné ukázať platný súhlas k použitiu osobných informácií.
Organizácie potrebujú zaistiť, aby voči klientom v žiadosti o súhlas používali jednoduchý a zrozumiteľný jazyk. Aby bolo jasné, ako a na čo vlastne chcú informácie využívať. Klienti naopak musia pochopiť, že nečinnosť a mlčanie už nepredstavuje súhlas s využitím ich osobných údajov.
GDPR ďalej vyžaduje, aby firmy a organizácie zhromažďujúce osobné údaje mohli preukázať jasný a potvrdzujúci súhlas pre spracovanie týchto dát. Väčšinu súčasných mechanizmov na získanie súhlasu nebude možné po zavedení GDPR využiť.
V budúcnosti bude teda pre firmy a organizácie ešte dôležitejšie než inokedy, aby presne vysvetlili, aké osobné údaje zbierajú, ako ich budú spracovávať a využívať. Bez platných súhlasov potom budú všetky činnosti spojené so spracovaním osobných údajov zo strany úradov zablokované.
GDPR požaduje menovanie inšpektora ochrany údajov (DPO – Data Protection Officer)
GDPR vyžaduje, aby orgány štátnej správy, ktoré spracovávajú osobné informácie, menovali inšpektora pre ochranu osobných údajov (DPO – Data Protection Officer). Rovnako takto profilovanú pozícius budú musieť obsadiť podniky či organizácie, ktorých základné činnosti patria pravidelné a systematické monitorovanie a spracovanie veľkých objemov osobných údajov alebo pracujú s ďalšími špeciálnymi údajmi, ktoré prvky osobných dát vykazujú.
Podľa odhadov profesijných organizácií tak bude Európa v najbližších dvoch rokoch potrebovať okolo 28-tisíc odborníkov k obsadeniu pozícií Data Protection Officer.
Princípom GDPR je okrem iného to, že neposudzuje, ako je firma veľká, ale ako zachádza s osobnými údajmi. Preto bude musieť pozíciu Data Protection Officer zriadiť každá firma či organizácia. Táto osoba bude následne zaisťovať, že firemné procesy, aktivity a systémy súvisiace so spracovaním dát budú v súlade so zákonom.
Viac o Data Protection Officer sa dozviete v článku Čo znamená pojem zodpovedná osoba (Data Protection Officer) v zmysle GDPR a kto má povinnosť takúto osobu vo svojej organizácii ustanoviť?
GDPR zavádza povinné PIA – Privacy Impact Assessment
GDPR zavádza povinné posúdenie dopadov na súkromie klientov, tzv. PIA – privacy impact assessment. Tento nástroj je určený pre identifikáciu a vyhodnotenie rizík o ochrane osobných údajov v celom životnom cykle vývoja softwaru alebo systému.
GDPR požaduje, aby PIA vykonali správci údajov tam, kde je riziko narušenia súkromia vysoké a je teda potrebné riziká zneužitia údajov súkromných subjektov minimalizovať. Potom to bude znamenať, že firmy a organizácie, ktoré pripravujú projekty zahrnujúce prácu s osobnými dátami, budú musieť prostredníctvom svojich DPO vykonať posúdenie rizík narušenia súkromia. Tým sa ešte pred zahájením prác dá zistiť, či pripravované projekty sú v súlade s požiadavkami GDPR.
GDPR zavádza podmienku oznámení úniku osobných údajov pre všetkých
Naprieč Európou GDPR harmonizuje rôzne zákonné pravidlá pre hlásenie narušenia či únik dát. Rovnako tak sa zameriava na to, aby tiež organizácie narušenie dát a následný únik osobných údajov nepretržite monitorovali.
Nariadenie GDPR vyžaduje, aby postihnutá firma či organizácia informovala úrad pre ochranu osobných údajov o úniku najneskôr 72 hodín po zistení. Ďalej musia firmy a organizácie zaistiť procesy a technológie, ktoré im umožnia únik odhaliť, zareagovať a zaistiť nápravu.
Pre firmy to bude znamenať, aby si zaistili tréning manažérov a zamestnancov. Rovnako to bude vyžadovať uskutočnenie zmien v interných zásadách zabezpečenia osobných údajov a zaistiť ich zavedenie do firemnej praxe. Účelom je zaistiť rýchle odhalenie úniku dát, rozpoznanie príčin a následnú nápravu.
GDPR zavádza právo byť zabudnutý
GDPR zavádza veľmi reštriktívne, vymáhateľné princípy spracovania dát. Jedným z nich je princíp minimalizácie údajov, ktorý vyžaduje, aby organizácia nedržala údaje dlhšie, než je nevyhnutne nutné. Zároveň nesmie meniť spôsob využitia dát s ohľadom na účel, pre ktorý boli pôvodne zhromaždené. Pokiaľ by organizácia takú zmenu chcela urobiť, musí si pred týmto úkonom vyžiadať od majiteľa dát nový súhlas.
Z pohľadu firmy a organizácie to znamená, že musí mať k dispozícii procesy a technológie, ktoré zaistia zmazanie osobných dát subjektov ako reakciu na jeho žiadosť.
GDPR rozširuje zodpovednosť správcu údajov osobných dát
Zodpovednosť za spracovanie údajov ležala dosiaľ na registrovaných správcoch údajov. GDPR teraz túto zodpovednosť rozširuje na všetky organizácie, ktorých sa spracovanie osobných údajov akýmkoľvek spôsobom dotýka.
GDPR teda po novom pokrýva akékoľvek ďalšie firmy a organizácie, ktorých správcovia údajov poskytujú ďalšie služby spracovania údajov. Znamená to teda, že i firmy, ktoré sú čisto poskytovatelia služieb spracovania dát a pracujú s osobnými dátami, budú musieť jednať v súlade s pravidlami ako je napríklad minimalizácia údajov čiže právo byť zabudnutý.
GDPR vyžaduje ochranu súkromia už v návrhu systému
GDPR požaduje, aby ochrana osobných údajov bola zahrnutá už v počiatočných fázach návrhov informačných systémov pre spracovanie osobných údajov. To znamená, že software, systémy a procesy, ktoré vznikajú, musia vyhovovať princípom ochrany súkromia.
Napríklad účinné vymazanie informácií je niečo, s čím sa pri vývoji dnešného softwaru často nepočíta. V budúcnosti ale akýkoľvek software bude musieť byť schopný požadované dáta úplne vymazať.
GDPR zavádza koncept jednotného prístupu
Vďaka vyššej tolerancii v ochrane osobných údajov bolo Írsko obľúbené pre veľké americké korporácie ako je Google alebo Microsoft.
Takéto zvýhodnenie ale zmizne s nástupom platnosti GDPR. Potom v každej krajine EÚ môže úrad na ochranu osobných údajov prijať nápravné opatrenia proti spoločnostiam, bez ohľadu na to, kde majú sídlo. Tieto opatrenia môžu byť tiež významne podporené pokutami až do výšky 20 miliónov € alebo 4 % z ročného celosvetového obratu.
Mohlo by vás tiež zaujímať:
1. GDPR - Nové pravidlá v oblasti ochrany osobných údajov
2. 9 situácií, v ktorých by sa podnikatelia mali zaoberať ochranou osobných údajov podľa GDPR
4. Nový zákon o ochrane osobných údajov od 25.5.2018 - aké zmeny prináša?
5. Kedy sa GDPR a nový zákon o ochrane osobných údajov dotkne aj bežného podnikateľa?
6. GDPR v skratke - ako by sa mal podnikateľ pripraviť?
7. Nový zákon o ochrane osobných údajov zvýši náklady a byrokratické povinnosti takmer každej firmy
Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.