Vyznáte sa už v pravidlách GDPR?

Autor Miroslav Turza, Ľubomíra Chmelová október 2017 -

Musí byť súhlas so spracovaním osobných údajov iba písomný? Môžu si firmy pýtať poplatok za informácie o osobných údajoch, ktoré o vás spracúvajú? Koľko času majú na to, aby priznali úradom ich únik?

Poznáte odpovede na uvedené otázky? Ide o oblasti, ktoré upravuje nové európske nariadenie o ochrane osobných údajov GDPR (General Data Protection Regulation). Vo všetkých členských štátoch sa začne uplatňovať od 25. mája 2018. Keďže si vyžiada rozsiahle zmeny v procesoch a systémoch u vyše pol milióna subjektov na Slovensku, s prípravou a najmä vzdelávaním musia začať už dnes.

Nedá sa to ignorovať ani podceniť

Ak ste na úvodné otázky odpovedali „Nie, akceptuje sa napríklad aj hlasová nahrávka“, „Áno, pri opakovaných žiadostiach“ a „72 hodín od zistenia porušenia“, ste na dobrej ceste. Je toho však omnoho viac, čo musíte v súvislosti s požiadavkami GDPR poznať vy a vaši zamestnanci. „Každý zamestnanec, ktorý prichádza do styku s osobnými údajmi, by mal vedieť, aké sú jeho povinnosti podľa nariadenia GDPR. Neznalosť a nekonanie môže mať pre firmu až likvidačné následky,“ upozorňuje audítorka z TÜV SÜD Slovakia Katarína Heiserová. „Najčastejšie bezpečnostné incidenty vznikajú práve z nedostatočného povedomia o legislatíve a pravidlách. Keďže GDPR prináša menšiu revolúciu v oblasti ochrany dát, vzdelanie v tejto oblasti považujem za absolútne kľúčové,“ dodáva. Pokuty za nedodržiavanie požiadaviek nariadenia môžu dosiahnuť až 20 miliónov eur alebo 4 % z celosvetového obratu firmy. Cieľom nariadenia je zosúladiť mieru ochrany osobných údajov v celej Európskej únii a zároveň posilniť práva dotknutých osôb.

Podľa nariadenia GDPR musia firmy preukázať súlad s novými požiadavkami auditom alebo kódexom správania. Slovensko k nariadeniu pripravilo nový Zákon o ochrane osobných údajov, ktorý prešiel prvým čítaním v Národnej rade SR.

Najväčšie nástrahy GDPR – až po detailné povinnosti

Heiserová očakáva, že pre firmy bude „kameňom úrazu“ splniť najmä tie povinnosti GDPR, ktoré súvisia s nahlasovaním únikov údajov a so zabezpečením práv dotknutých osôb. Takže: podľa pripravovaného nariadenia musia firmy oznámiť porušenie ochrany osobných údajov Úradu na ochranu osobných údajov do 72 hodín od zistenia porušenia. Kľúčové podľa audítorky bude nájsť vhodnú formu, respektíve postup na zisťovanie incidentov v reálnom čase. Incidenty, ktoré bude potrebné oznámiť, budú zahŕňať takmer každé porušenie – bez ohľadu či ide o veľkú spoločnosť alebo malý podnik. Po máji 2018 už spoločnosti nebudú môcť riešiť únik dát iba interne, ako to bolo doteraz. „Nahlasovacia povinnosť sa nebude vzťahovať iba na zásadné porušenia, ako sú napríklad strata údajov, ich únik alebo krádež identity, ale bude zahŕňať takmer každé porušenie osobných údajov. Napríklad aj zámenu obálok určených pre dve rôzne osoby v banke alebo prístup neoprávnenej osoby k databáze obsahujúcej osobné údaje. Ibaže by bolo preukázané, že je nepravdepodobné, že incident spôsobí riziko pre práva a slobody jednotlivcov, ktorých sa týka,“ ozrejmuje K. Heiserová.

Odolnosť, dokumentácia, likvidácia

Pre firmy tiež nebude jednoduché pokryť striktnejšie požiadavky na zabezpečenie práv osôb pri spracúvaní ich osobných údajov. Nie je ich málo; niektoré budú vyžadovať aj technické opatrenia a opatrenia na úrovni dát. „Ide napríklad o zaručenie bezpečného mazania osobných údajov, riadenie a monitorovanie aktivít s osobnými údajmi, zabezpečenie odolnosti systémov spracúvajúcich osobné údaje proti výpadkom a strate dát, schopnosť včas identifikovať bezpečnostné incidenty, analyzovať ich a zdokumentovať, pravidelné testovanie bezpečnosti osobných údajov, zavedenie šifrovania dát a osobných údajov,“ vymenúva audítorka Heiserová.

V závislosti od veľkosti a zamerania firmy, ako aj od doterajšieho nastavenia informačnej bezpečnosti vo firme môže trvať príprava na súlad s nariadením GDPR 3 až 12 mesiacov. Lepšiu východiskovú pozíciu majú tie firmy, ktoré už dnes riešia informačnú bezpečnosť na nejakej úrovni – napríklad reálne dodržiavajú súčasný zákon o ochrane osobných údajov (122/2013), prípadne riadia informačnú bezpečnosť podľa medzinárodnej normy (ISO 27001).

Už žiadna HR agenda vo firemnom open space

Pri auditoch vo firmách sa experti TÜV SÜD stretávajú s viacerými opakujúcimi sa nedostatkami. Napríklad spoločnosti spracúvajú osobné údaje neprimerane – to znamená, že ich spracúvajú viac ako potrebujú, prekračujú lehoty na ich uchovávanie. Prípadne spracúvajú dáta nezákonným spôsobom alebo nezvolili správny právny podklad pre spracúvanie osobných údajov. Častými problémami sú aj nedostatočné poučenie oprávnených osôb a nedostatočné bezpečnostné opatrenia.

V praxi sa audítori stretajú napríklad s tým, že v spoločnosti nie je regulovaný (obmedzený) prístup k chráneným priestorom, napríklad do archívu, alebo že HR oddelenie a mzdová učtáreň, spracovávajúce citlivé osobné údaje, neboli fyzicky zabezpečené, nakoľko sa nachádzali uprostred spoločného open space firmy. Môžu to byť aj chyby iného druhu: stalo sa napríklad aj to, že firma mala nainštalované kamerové systémy v šatniach, čím porušovala ochranu súkromia.

MT

 

Čítajte tiež:

GDPR alebo: ochrana osobných údajov po novom