Nezabudnite na GDPR. Pokuty môžu byť likvidačné

Keď sa povie GDPR, mnohým prebehne mráz po chrbte, niektorí ani netušia o čo ide.
Pritom táto regulácia nadobudne účinnosť už budúci rok v máji a pokuty za jej nedodržanie sú astronomické – 20 miliónov eur alebo štyri percentá celosvetového obratu, podľa toho, čo je vyššie.

Hlavným zámerom GDPR je pritom pomôcť občanom i firmám. Ľudia dostanú väčšiu ochranu súkromia, pre tých druhých odpadá pri cezhraničnom podnikaní povinnosť študovať množstvo národných legislatív a kontaktovať príslušné orgány vo všetkých krajinách. GDPR však prakticky prinesie revolúciu, keďže sa bude týkať takmer každej firmy, a to aj na Slovensku.

Ako začať?
Firmy by už teraz mali podniknúť kroky, aby sa vyhli stresu a pokutám. „ Právna analýza, procesný audit, dátový audit, to všetko sú veci, s ktorými netreba na nič čakať,“ hovorí Tomáš Hlavsa, odborník spoločnosti Atos IT Solutions and Services, ktorá organizáciám pomáha zosúladiť ich podnikanie s požiadavkami nariadenia.

Tomáš Hlavsa pri prednáške o zavedení GDPR
Hoci GDPR na prvý pohľad nie je úplným prekopaním systému v porovnaní s existujúcou slovenskou legislatívou, predsa len sa líši v detailoch. Firmy bude napríklad čakať prehodnotenie existujúcich súhlasov so spracovaním osobných údajov, prípadne doplnenie ďalších informácií. To v konečnom dôsledku môže viesť aj k zmene doteraz uzavretých zmlúv, prípadne vypracovaniu ich doplnkov. Osobné údaje sú teraz oveľa presnejšie špecifikované a patria medzi ne napr.: meno, fotografia osoby, emailová adresa, bankové údaje, príspevky na sociálnych sieťach či stránkach, údaje o zdravotnom stave, ale aj IP adresa. Ďalej inštitúty „trvalého zabudnutia“ a právo na „kompletnú prenositeľnosť“ bude možno aplikovať nielen v prípade telekomunikačných operátorov. Zmeny čakajú aj na údaje uložené v dátových úložiskách (cloudoch), ktoré sa budú musieť riadiť novými pravidlami o cezhraničnom prenose. Sprísňuje sa aj ochrana biometrických údajov.

Zdroj: https://touchit.sk/nezabudnite-na-gdpr-pokuty-mozu-byt-likvidacne/137476

Čo je nové?
Všetky zmeny a nové pravidlá možno nájsť na stránke slovenského Úradu na ochranu osobných údajov. Kým pre malé firmy bude príprava na GDPR prevažne administratívna, väčšie organizácie sa musia pripraviť na skutočne veľké upratovanie. Aby sa dáta dali chrániť, treba sa v nich vyznať. A firmy, ktorými prechádzajú desiatky dokumentov, dáta sú uložené v počítačoch pracovníkov, vo firemných databázach i v cloudových úložiskách, budú musieť vedieť ochrániť naozaj všetky z nich.
Organizácie, ktoré spracovávajú alebo transferujú dáta obsahujúce osobné údaje mimo hraníc EÚ majú teraz sprísnené pravidlá na manipuláciu s nimi. Majú totiž za povinnosť zaviazať si aj svojich nie-EU partnerov na manipuláciu s osobnými údajmi podľa regulácie GDPR. Dotknutá organizácia je pritom zodpovedná za porušenie pravidiel svojich partnerov.

Urobte si poriadok
„ Každá firma by mala vedieť odpovedať na niekoľko jednoduchých otázok, “ hovorí Hlavsa. Mala by mať prehľad o tom, aké údaje od ľudí zbiera. Musí vedieť odpovedať, aké citlivé tieto údaje sú, kde sa nachádzajú, odkiaľ do firmy prichádzajú, kto k nim pristupuje a či z organizácie ešte niekam odchádzajú.
Zodpovedať predchádzajúce otázky bez pomoci technológií by bolo nadľudské úsilie. „ Dnes už, našťastie, poznáme platformy, ktoré to dokážu automatizovane, “ hovorí odborník Atosu. Technológie si poradia aj s dátami, ktoré sa nielen ukladajú, ale firmou len pretekajú.

Povinnosti prevádzkovateľa
Podľa GDPR bude posúdenie vplyvu na ochranu osobných údajov povinnosťou prevádzkovateľa. „ Na to však treba presné dáta a prehľad o osobných údajoch v organizácii. Pomocou technológií už dnes dokážeme pokryť dokumenty, databázy, úložiská i toky medzi aplikáciami. Na základe zistených údajov vieme získať komplexný obraz o osobných údajoch a zistiť, aké opatrenia sú zmysluplné a ekonomicky odôvodniteľné, “ spresňuje Hlavsa. GDPR bude v praxi to znamenať nielen konkrétne opatrenia zaviesť, ale aj popísať ich a byť pripravený zavedené opatrenia doložiť kontrolným orgánom.

Transparentnosť pri porušení ochrany dát
Máte maximálne 72 hodín na nahlásenie zisteného porušenia bezpečnosti osobných údajov kontrolnému orgánu, a to vrátane popisu povahy daného porušenia a vyplývajúcich súvislostí. Takto formulovaná povinnosť implikuje celý rad interných opatrení tak technickej, ako aj procesnej a personálnej povahy pre povinné subjekty.

Čo je to GDPR a koho sa vlastne týka?
GDPR alebo „General Data Protection Regulation“ je nariadenie Európskej únie č. 2016/679, ktoré bolo schválené Európskym parlamentom 14. apríla 2016 a do platnosti vstúpi 25. mája 2018.
Týka sa všetkých subjektov, ktoré vytvárajú, uchovávajú (sú správcovia) alebo spracovávajú dokumenty či informácie obsahujúce osobné údaje. Dotknuté sú tak napr. banky, telekomunikační operátori, poisťovne, zdravotnícke zariadenia a samozrejme aj orgány celej štátnej správy.

Prečo vznikla GDPR regulácia?

Primárnym dôvodom je posilnenie ochrany osobných údajov obyvateľov celej Európskej únie. Cieľom je donútiť subjekty, ktoré manipulujú, spracovávajú alebo uschovávajú dáta obsahujúce osobné údaje k vyššej ochrane a zodpovednej manipulácii s takýmito dátami.

Čo to znamená pre dotknuté subjekty?
Zjednodušene povedané, povinné subjekty budú musieť aj pod hrozbou obrovských pokút prijať opatrenia, ktorými sa uvedú do súladu s touto normou. Konkrétne budú musieť klasifikovať všetky dáta (dokumenty, databázy, informačné systémy) a tie, ktoré obsahujú osobné údaje, budú musieť viac a lepšie chrániť.

Ako sa na GDPR pripraviť v zostávajúcom čase do mája 2018?
Všetky povinné subjekty si najprv spracujú právnu analýzu, aký dopad má konkrétne na nich GDPR regulácia. V ďalšom kroku si budú musieť organizácie spracovať procesný a dátový audit, ktorý popisuje, aké dokumenty, systémy či dodávatelia manipulujú s dátami obsahujúcimi osobné údaje. Uistia sa, kam sa tieto dáta ukladajú, prípadne sa presúvajú, zálohujú a pod. Z týchto dvoch krokov (právna analýza a dátový audit) vyplynú odporúčania nápravných opatrení. Teda odporúčania ako dáta, systémy a procesy uviesť do súladu s reguláciou GDPR.

Článok je publikovaný v touchit zo dňa 15.10.2017.

Odkaz na článok.