Firmy si dáta musia strážiť lepšie

Pre zamestnávateľov
Najväčšia európska regulácia v ochrane osobných údajov za posledných 20 rokov sa dotkne takmer každej obchodnej spoločnosti. Na Slovensku to bude podľa odborníkov vyše pol milióna subjektov.

Účinnosť GDPR

Odkedy platia nové pravidlá? Slovenská republika k európskemu nariadeniu pripravila aj Zákon o ochrane osobných údajov. Koncom decembra 2017 ho podpísal slovenský prezident. Účinnosť nadobudne 25. mája tohto roku. Od tohto dátumu začne byť účinné celoeurópske nariadenie GDPR. Regulácia GDPR (General Data Protection Regulation) zjednocuje a sprísňuje požiadavky na ochranu osobných údajov v EÚ. Podľa odhadov sa dotkne vyše pol milióna subjektov na Slovensku. Zmeny v procesoch a systémoch budú tvoriť náklady vo výške 40 miliónov eur. 

Hlavné zmeny, ktoré prinieslo GDPR:

Spresnenie nastavenia bezpečnosti ochrany
Zmena: Už nebudú postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov. Po novom už bude musieť byť každé nastavenie bezpečnosti ochrany osobných údajov „šité na mieru“, a to jednak po technickej stránke, ako aj po formálnej stránke. „Teda každý si pred každým spracúvaním osobných údajov musí posúdiť, aké osobné údaje bude spracúvať, ako a či ich môže spracúvať v súlade s nariadením, kam budú poskytované a podobne, a podľa toho pripraviť technické zabezpečenie a formálnu dokumentáciu,“ vysvetľuje Pavol Szabo, advokát z advokátskej kancelárie GHS Legal.

Posilnené práva dotknutých osôb
Zmena: „Bude sa klásť väčší dôraz na individuálne ,páky‘ dotknutých osôb na ich ochranu, najmä pri automatizovanom spracúvaní ich osobných údajov, ktorým sa automaticky vyhodnotí určité ich osobné správanie a predvídanie ich správania,“ hovorí Pavol Szabo. Medzi štandardy budú patriť práva dotknutých osôb najmä na získanie informácií, aké údaje a na aký účel niekto o nich spracúva. A to vrátane toho, odkiaľ ich údaje získal, právo na „zabudnutie“ (výmaz ich údajov) alebo ucelený presun ich údajov, právo na obmedzenie spracúvania ich údajov a podobne.

Hlásenie úniku osobných údajov
Zmena: Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dosahov. „Za opatrenia sa považuje najmä dostatočné šifrovanie údajov,“ vysvetľuje audítor TÜV SÜD Slovakia Igor Straka. V závažnejších prípadoch bude musieť únik osobných údajov okamžite oznámiť aj samotnej dotknutej osobe. „Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hekeri zneužiť na vlastné obohatenie, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne,“ opisuje Straka.

Údaje osôb mladších ako 16 rokov
Zmena: Pre každého, kto bude mať záujem poskytnúť napríklad odplatné služby cez internet osobe mladšej ako 16 rokov, súhlas na spracúvanie osobných údajov tejto osoby bude musieť poskytnúť alebo schváliť jej zákonný zástupca, teda najčastejšie rodič. „To, či poskytovateľ tejto služby vynaložil primerané úsilie a zohľadnil dostupnú technológiu, aby si overil, že súhlas získal za týchto podmienok, bude musieť preukázať sám poskytovateľ tejto služby na prípadnej kontrole úradu,“ vraví Pavol Szabo.

Povinné určenie zodpovednej osoby vo firme
Zmena: Prevádzkovateľ je povinný ustanoviť zodpovednú osobu v prípade, že spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt, teda celoštátne, regionálne miestne orgány. Pozor, povinnosť poveriť zodpovednú osobu sa vzťahuje aj na subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie vyžadujúce si pravidelné a systematické monitorovanie dotknutých osôb. Ide napríklad o cielenú internetovú reklamu pomocou e-mailu či využívanie kamerových systémov. Zodpovednú osobu budú musieť mať aj firmy, ktoré vykonávajú spracúvanie osobitnej kategórie osobných údajov vo veľkom rozsahu. Sú to napríklad poisťovne či banky. Za zodpovednú osobu možno ustanoviť napríklad člena personálu.

Neplatnosť súhlasu na spracovanie údajov
Zmena: Na dokončenie objednávky je dnes nutné zaškrtnúť políčko, ktorým sa poskytuje predajcovi súhlas spracúvať osobné údaje či posielať marketingové materiály. Po dátume účinnosti GDPR bude takto poskytnutý súhlas neplatný. Spracúvanie údajov na základe súhlasu musí byť po novom jasným, nepodmieneným a aktívnym prejavom vôle osoby. Súhlas nesmie byť skrytý v obchodných podmienkach a musí byť rovnako ľahko odvolateľný, ako bol udelený. Podmieňovanie poskytnutia služby udelením súhlasu je a zostane vylúčené. Čo sa stane s už udelenými súhlasmi? Budú považované za platné len v prípade, že spĺňajú nové pravidlá. Inak musí podnikateľ získať nové súhlasy zákazníkov či ukončiť spracúvanie takýchto osobných údajov.

Definícia osobného údaja
Zmena: Osobným údajom je akákoľvek informácia o identifikovanej alebo identifikovateľnej fyzickej osobe. Identifikovateľná osoba je osoba, ktorú možno priamo či nepriamo identifikovať, najmä napríklad menom, identifikačným číslom či zvláštnymi prvkami fyzickej, psychickej či spoločenskej identity. Zmena znamená dodatočné povinnosti na strane prevádzkovateľov či sprostredkovateľov, napríklad v online reklame, kde veľa cookies môže byť po novom považovaných za online identifikátory.

Spracovanie fotografie a pseudonymizovanie
Zmena: Spracúvanie fotografie alebo podpisu bez získavania biometrických údajov sa nepovažuje za spracúvanie osobných údajov. Tie, ktoré sú anonymizované, alebo nie je možné identifikovať dotknuté osoby, sú dokonca úplne vyňaté spod pravidiel GDPR. Osobné údaje, ktoré sú pseudonymizované, v prípade, že kľúč, ktorý umožní opätovnú identifikáciu fyzickej osoby, je zabezpečený, predstavujú nízke riziko spracúvania osobných údajov. GDPR odporúča pseudonymizovanie, ale neprikazuje ho. Pseudonymizácia je oddelenie údajov od priamych identifikátorov, takže spojenie s identitou osoby nie je možné bez dodatočných informácií.

Ako si vybrať osobu, ktorá bude dbať o údaje?
Podľa počtu osôb aj objemu údajov Nariadenie GDPR zavádza niekoľko nových požiadaviek, medzi ktorými je aj povinné ustanovenie DPO. Ide o Data Protection Officera, teda zodpovednú osobu pre spracúvanie osobných údajov pre určený okruh prevádzkovateľov. Dnes je na Slovensku ustanovenie zodpovednej osoby dobrovoľné. „Z DPO sa vo veľmi krátkom čase stane lukratívna pozícia, keďže sa v tejto funkcii stretli široké požiadavky na kompetencie a regulácia jej garantuje rozsiahle právomoci,“ myslí si certifikovaný etický heker a odborník na kybernetickú bezpečnosť zo spoločnosti iseco Ľubomír Kopáček, ktorý spolupracuje s TÜV SÜD Slovakia na odborných školeniach pre manažment a zamestnancov.

Firma potrebuje DPO, ak okrem iného spracúva operácie, ktoré vyžadujú monitorovanie osôb vo „veľkom rozsahu“. Pojem „veľký rozsah“ však nie je nikde presne kvantifikovaný. Aby firma zistila, či spadá do tejto kategórie, môže si pomôcť vysvetlením pracovnej skupiny pri Európskej komisii WP29, ktorá vydáva ku GDPR metodické usmernenia. Za určujúce faktory veľkého rozsahu považuje počet dotknutých osôb, objem údajov alebo rozsah rôznych položiek údajov, dĺžku trvania alebo stálosť činnosti spracúvania a geografický rozsah spracovateľskej činnosti. „Pod veľkým rozsahom si teda nepredstavujme iba veľké množstvo spracúvaných údajov, ale napríklad aj dlhý čas ich uloženia, veľký rozsah samotných dát a podobne. Posúdenie veľkého rozsahu je naozaj na expertnom odhade a zvážení všetkých okolností,“ vysvetľuje Kopáček.

Ktorý prevádzkovateľ alebo sprostredkovateľ musí mať DPO:
– orgány verejnej moci a verejnoprávne subjekty, okrem súdov;
– ak vykonáva pravidelné a systematické monitorovanie osôb vo veľkom rozsahu;
– ak spracúva osobitné kategórie údajov vo veľkom rozsahu.

Čo určuje veľký rozsah:
– počet dotknutých osôb;
– objem údajov alebo rozsah položiek údajov;
– dĺžka trvania alebo stálosť spracúvania;
– geografický rozsah činnosti.

Hlavné úlohy DPO:
– monitoruje/kontroluje dodržiavanie GDPR vo firme;
– poskytuje informácie, poradenstvo a odporúčania;
– komunikuje s dozorným orgánom.

Zdroj: TÜV SÜD Slovakia

81 percent Európanov cíti, že nemajú úplnú kontrolu nad svojimi osobnými údajmi na internete. Veľká väčšina Európanov (69 percent) by chcela udeľovať svoj výslovný súhlas pred zberom a spracúvaním ich osobných údajov.

Len 24 percent Európanov dôveruje internetovým spoločnostiam, ako sú vyhľadávače, sociálne siete a e-mailové služby.

Zdroj: Eurobarometer, 2015

Pripravte sa na GDPR

Najväčšia európska regulácia v ochrane osobných údajov za posledných 20 rokov sa dotkne takmer každej obchodnej spoločnosti. Na Slovensku vyše pol milióna subjektov. ----------------> Nariadenie GDPR bude účinné od 25. mája 2018 a vyžiada si zmeny v procesoch a informačných systémoch.

10 krokov k zavedeniu GDPR vo firme

Dotknutým subjektom môže zavedenie požiadaviek GDPR trvať 3 až 12 mesiacov v závislosti od stupňa podpory manažmentu, rozsahu spracovania osobných údajov a úrovne riadenia informačnej bezpečnosti. Obchodné spoločnosti, ktoré majú zavedené manažérske systémy podľa ISO 9001 a ISO 27001, majú podľa odborníkov lepšiu východiskovú pozíciu pre úspešnú implementáciu.

1. Vybudujte si povedomie o GDPR
Oboznámte sa s agendou GDPR, prínosmi, požiadavkami a termínmi nariadenia.

2. Stanovte si stratégiu
Definujte roly a jednotlivé zodpovednosti pri implementácii nariadenia GDPR, pričom si stanovte potrebné zdroje a určite termíny.

3. Analyzujte a porovnávajte
Vykonajte rozdielovú analýzu vzhľadom na GDPR a riadenie informačnej bezpečnosti vo vašej spoločnosti.

4. Klasifikácia
Klasifikujte informačné systémy vzhľadom na GDPR.

5. Definujte funkčné požiadavky
Vytvorte zoznam funkčných požiadaviek, ako sú práva dotknutých osôb či reportovanie incidentov.

6. Vytvorte pracovné postupy
Definujte postupy, dokumentácie, zodpovednosti.

7. Riaďte riziká
Analyzujte riziká posúdením hrozieb, zraniteľností, pravdepodobnosti a dosahu na spoločnosť.

8. Stanovte si opatrenia
Vytvorte plán implementácie opatrení na zníženie kritických hrozieb.

9. Vytvorte dokumenty
Vytvorte evidenčné listy a ďalšie náležitosti v zmysle nariadenia.

10. Vytvorte záruky
Firmy majú možnosť prejsť auditom a získať certifikát od akreditovaného orgánu. Môžu tak preukázať súlad s požiadavkami GDPR.

Zdroj: TÜV SÜD Slovakia
Zdroj: Veronika Galvánková (Hospodárske noviny)   Foto: Shutterstock

"Všetky práva vyhradené. Publikovanie tohto článku je bez predchádzajúceho písomného súhlasu Hospodárskych novín porušením autorského zákona."

Mohlo by vás zaujímať:

Poslať priateľovi
pracujem
pracujem Prebieha vyhľadávanie, prosím, čakajte...
ISTP

Prebieha vyhľadávanie, prosím, čakajte...

Pomocník

Máte otázky?
Vitajte v ISTP

Váš Internetový Sprievodca Trhom Práce

Na základe rozhodnutia o vyradení z evidencie uchádzačov o zamestnanie na úrade PSVR si, prosím, upravte registračné údaje.

Dobrovoľne nezamestnaný

Chcem pracovať

Potvrdenie

Vykonať požadovanú akciu?

Áno Nie