Ochrana osobných údajov po novom bude náročnejšia. Podnikatelia, pozor!

Ochrana osobných údajov nie je vec, ktorú by mali podnikatelia zanedbávať. Nová európska reforma ochrany osobných údajov GDPR (General Data Protection Regulation) prináša sprísnenie požiadaviek na všetky podnikateľské subjekty, ktoré prichádzajú do styku s osobnými údajmi svojich klientov.

GDPR v skratke

GDPR je skratka pre nariadenie Európskej Únie č. 679/2016, ktorá mení pravidlá, týkajúce sa spracovávania a uchovávania osobných údajov. Pre jednotlivé členské štáty EÚ nadobudne účinnosť od 25. mája 2018. Nariadenie sa týka veľkého počtu inštitúcií, od malých firiem, až po veľké spoločnosti, jednoducho všetkých subjektov, ktoré spracúvajú údaje o svojich klientoch, monitorujú správanie zákazníkov, prevádzkujú eshop, disponujú kamerovým systémom a mnohých iných. Bokom nezostanú ani organizácie s vytvoreným dochádzkovým systémom pre svojich zamestnancov, databázami zákazníkov alebo spoločnosti, ktoré jednoducho určitým spôsobom archivujú údaje a šifrujú dáta. Čiže firmy, ktoré tieto citlivé údaje ukladajú na serveri, využívajú dátové úložiská a rôzne aplikácie.

Šifrovanie dát
Novému nariadeniu o ochrane osobných údajov sa budú musieť prispôsobiť mnohé subjekty, inak im hrozia veľké pokuty.

Aké povinnosti musí spĺňať každý dotknutý subjekt?

Každý dotknutý subjekt či organizácia budú musieť správne roztriediť a oddeliť osobné údaje od ostatných údajov. Najmä údaje, ktoré sa týkajú zdravotného stavu alebo osobných údajov v bankách, sú považované za veľmi citlivé, a preto sa odporúča si ich nielen bezpečne ukladať, ale aj šifrovať, či pseudonymizovať. Pseudonymizácia je spôsob, pomocou ktorého nie je možné priradiť osobné údaje ku konkrétnej osobe bez ďalších dodatočných informácií. K šifrovaným dátam, ktoré obsahujú aj identity konkrétnych osôb, by sa nemal dostať nikto bez autorizovaného prístupu. Každý, kto spracúva osobné údaje, musí byť informovaný o dátach, za ktoré zodpovedá, a to na všetkých úrovniach. Musí mať nielen vyškolený personál, ale aj zabezpečenú kvalitnú infraštruktúru všetkých dát.

Právo byť zabudnutý

Podľa nového nariadenia GDPR má každý občan “právo byť zabudnutý” – pokiaľ si to bude želať, tak subjekt bude musieť vymazať všetky osobné údaje z rozličných firemných databáz. Ak takáto požiadavka zo strany občana nastane, spracovateľ osobných údajov má povinnosť do 48 hodín zareagovať a splniť požiadavku. V praxi to znamená, že bude musieť mať osobné dáta presne rozkategorizované a uložené tak, aby dokázal bez meškania požiadavku naplniť. Čo sa týka eshopov, tie budú musieť podľa nariadenia vopred informovať, akým spôsobom a na čo konkrétne osobné údaje svojich zákazníkov použijú.

Zmena nastane aj v oblasti poskytovania súhlasu so spracovaním osobných údajov, ako aj v rámci podmienok na používanie a registrácie systémov, v ktorých budú osobné údaje spracúvané. Novinkou je taktiež povinné určenie zodpovednej osoby (Data Protection Officer), ktorá bude zodpovedať nielen za dodržiavanie ochrany osobných údajov, ale aj za ich monitoring, evidenciu a okamžité nahlasovanie bezpečnostných incidentov príslušnému úradu.

Ochrana údajov občanov
Nariadenie prináša zosilnenie ochrany osobných údajov každého občana.

Nepodceňujte prípravu

Možno sa zdá, že implementácia potrebných opatrení je maličkosť, ale nenechajte sa pomýliť. Na problematiku GDPR sa treba pozrieť v širších súvislostiach. Pred samotným nastavením nových procesov sa musí urobiť analýza aktuálneho stavu. Aktuálny stav sa týka všetkých procesov vo firme, ako aj používaných aplikácií, systémov a komunikačných kanálov. Na vypracovanie kvalitnej analýzy je potrebné mať k dispozícii expertov – a to nielen interných zamestnancov, ale aj externých odborných konzultantov. Vypracovanie takejto analýzy si najmä v prípade veľkých firiem vyžiada veľmi veľa času a peňazí. V analýze sa musia uvádzať informácie o hrozbe možných rizík a takisto opatrenia na ich odstránenie. Kľúčové je aj správne rozkategorizovanie spracúvaných dát, v čom môže firmám pomôcť právnik, ktorý bude garantovať ich rozdelenie a správne určí úroveň ich ochrany vo vzťahu k nariadeniu. Vďaka nariadeniu teda zrejme dôjde k bližšej spolupráci informatikov a právnikov, aby sa zabezpečilo správne vyhodnotenie celej ICT štruktúry. A to nejde zo dňa na deň.

Krátky súhrn jednotlivých povinností:

  • Prevencia pred únikom osobných údajov
  • Predchádzať neoprávnenému prístupu k osobným údajom
  • Anonymizácia osobných údajov
  • Určiť zodpovednú osobu
  • Zabezpečiť spoľahlivú likvidáciu osobných údajov
  • Identifikácia bezpečnostných rizík
  • Testovanie bezpečnosti osobných údajov
  • Nevyhnutnosť šifrovania dát
  • Príprava procesných postupov pre prípad úniku dát

Likvidačné pokuty

Každému subjektu, ktorý nedodrží nové pravidlá hry a nebude schopný sa prispôsobiť požiadavkám vyplývajúcim z nariadenia, môžu byť uložené nesmierne vysoké pokuty. Napríklad, v prípade porušenia ustanovení o ochrane údajov sa môže správna pokuta vyšplhať až do výšky 10 miliónov eur alebo 2 % celkového svetového ročného obratu skupiny.

Ďalšia, vyššia pokuta sa môže vyšplhať do výšky 20 miliónov eur alebo 4 % celkového svetového ročného obratu skupiny. Táto astronomická pokuta sa týka porušenia základných zásad spracovávania osobných údajov, práv dotknutých osôb a iných oblastí, uvádzaných v nariadení.

Spomínané pokuty sú veľmi prehnané a podnikatelia si budú musieť dobre rozmyslieť, či im prípadné nedodržanie pravidiel stojí za riziko likvidácie ich biznisu. Celú problematiku GDPR je nutné začať riešiť čo najskôr a nenechať si nič na poslednú chvíľu.

  • Komentáre
  • Podobné články
0
Novinky Rady a tipy

Daniari uviedli aktualizovaný program na elektronické podpisy. Koho poteší?

0
Novinky Rady a tipy

Návrat po sviatkoch do práce bez stresu

0
Rozhovory

Barbora Bošková: Začať vlastný biznis, ktorý by sa dal udržiavať na diaľku, nie je brnkačka

Navigácia

Magazíny