GDPR

Hrozba pre firmy alebo veď na toto sme vlastne čakali?

Ak podnikáte v EÚ, pravdepodobne sa Všeobecné nariadenie o ochrane osobných údajov (GDPR - General Data Protection Regulation, EU 2016/679) bude v istej miere týkať aj vás. Do platnosti vstúpi už 25. mája 2018.

IDE

o komplexné nariadenie spojené s vysokými pokutami za ich nesplnenie. Cieľom GDPR je zvýšiť úroveň ochrany osobných údajov a posilniť práva občanov Európskej únie v tejto oblasti. A to aj voči firmám, ktoré nemajú sídlo v Európe.
V tomto článku vysvetlíme, čo Všeobecné nariadenie o ochrane údajov je, aké sú jeho požiadavky, a ponúkneme vám aj možné riešenia.

 

Na koho sa bude vzťahovať

GDPR sa bude vzťahovať na každú organizáciu v Európe, ktorá spracováva akékoľvek osobné údaje. Čo je to ten osobný údaj? Podľa doterajšieho zákona č. 122/2013 Z. z. je to meno, priezvisko, mailová alebo poštová adresa, telefónny kontakt a pod. Avšak podľa nariadenia GDPR je to aj IP adresa či cookies, lokalizačné údaje, odtlačky prsta či zdravotné záznamy.
Rovnako sem patria aj kategórie údajov hodné zvláštneho zreteľa – osobné údaje vypovedajúce o pôvode dotknutej osoby, jej politických názoroch, náboženskom či filozofickom vyznaní, zdravotnom stave, genetické a biometrické údaje, osobné údaje detí a pod. Požiadavky GDPR musia splniť aj záznamy z bezpečnostných kamier či zariadenia slúžiace na tlač a skenovanie osobných údajov. GDPR ovplyvní aj registráciu internetových domén. Zároveň sa bude vzťahovať aj na zahraničné subjekty, ktoré akoukoľvek formou pracujú s údajmi občanov EÚ.
GDPR má však hlavne ovplyvniť firmy, ktoré obchodujú s údajmi a dátami a môžu ich aj zneužívať.
Cieľom GDPR je, aby sa takémuto zneužívaniu dát, získaných napr. nelegálne alebo zámienkou zabránilo. Malo by sa týkať predovšetkým väčších firiem (niekedy sa spomína údaj nad 250 zamestnancov), ale ovplyvní aj menšie firmy.

 

Aké pokuty hrozia za nedodržiavanie GDPR?

Zavádzané pravidlá GDPR pôsobia zložito a pokuty za ich nesplnenie sú poriadne vysoké – až do 20 miliónov eur alebo do 4 percent z celosvetového obratu. V prípade zahraničných firiem sú 4 % z obratu poriadne vysoká suma. GDPR tiež zavádza rolu poverenca pre ochranu osobných údajov, ktorý bude mať na starosti zabezpečenie súladu s nariadeniami GDPR (Data Protection Officer – DPO). Zdá sa, že poverenec bude zakrátko veľmi lukratívna pozícia v podnikoch, bude potrebný vo väčšine väčších organizácií. Poverenec monitoruje dodržiavanie požiadaviek na ochranu osobných údajov a súvisiacich právnych predpisov, poskytuje informácie, poradenstvo a odporúčania vedeniu, rovnako spolupracuje s tzv. dozorným orgánom. To je miestny Úrad na ochranu osobných údajov (ÚOOÚ). Podniky majú podľa GDPR povinnosť viesť záznamy o spracovateľných činnostiach a povinnosť vykonať tzv. posúdenie vplyvu spracovateľných operácií na ochranu osobných údajov. Kde majú podniky začať

Ako vyplýva z predchádzajúceho, GDPR sa vás týka, ak spracovávate údaje o svojich zamestnancoch či vašich klientoch alebo osobách tretích strán. Ak ste si od nich v minulosti pýtali súhlas na spracovanie osobných informácií, po 25. máji 2018 si budete musieť od nich tento súhlas vypýtať znova. Pritom musia súhlasiť presne s tým, na čo tieto údaje využívate. Súhlas so spracovaním údajov musí byť konkrétny, slobodný, jednoznačný, preukázateľný a ničím nepodmienený.
Vyhovieť podmienkam nariadenia GDPR si vyžaduje zmeny v organizácii práce, sú to zmeny technické i procesné. Organizácie si musia vytvoriť nové vnútorné organizačné predpisy. Hlavný dôraz je na spôsobe využitia informačných technológií, v konečnom dôsledku ide o prácu s informáciami. Avšak splnenie nariadenia GDPR neznamená nákup nejakého softvéru, či dokonca hardvérovej krabičky, ako sa to už začalo objavovať v ponuke na internete. Splnenie požiadaviek GDPR je predovšetkým komplexná zmena procesov. Tá vychádza z analýz doterajšieho stavu a následných opatrení. Zrevidovať sa musia napr.
podpísané zmluvy so zamestnancami, zmluvy s tretími stranami, ktoré boli poverené spracovaním osobných údajov a prirodzene zmluvy s dotknutými osobami. Treba zaviesť princíp Privacy by dizajn – ochrana osobných údajov je na prvom mieste pri návrhu akéhokoľvek postupu pri práci s informáciami.

 

Šifrovanie, šifrovanie a ešte raz šifrovanie

Po platnosti nariadenia GDPR tak začne mať iný význam antivírusový program, ochrana podnikových e-mailov, firewall, ochrana podnikovej Wi-Fi siete či vzdialený prístup do počítačovej siete cez VPN. Prístup k citlivým osobným údajom môžu mať len osoby, ktoré s nimi naozaj majú pracovať a len na dobu, počas ktorej existuje dôvod na ich spravovanie.
Citlivé osobné údaje nemôžu byť prenášané, uschovávané a archivované v otvorenej podobe, dôležité je ich šifrovanie. Rovnako tak musíte dáta ukladať na dnes populárne cloudy v šifrovanej podobe.

 

Právo na zabudnutie existuje

Zavedením GDPR získavate ako dotknutá osoba právo na to, aby ste požiadali o preverenie toho, čo organizácia o vás eviduje, máte právo na korekciu nepresných údajov, ich prenos na inú organizáciu, ale aj právo na zabudnutie údajov. Rovnako môžete požadovať obmedzenie rozsahu spracovania údajov a máte právo podať návrh na začatie konania proti organizácii na dozornom orgáne.
Od 25. mája organizácie výslovne nemôžu používať údaje získané od vás pod akoukoľvek zámienkou na priamy marketing – na to musíte dať osobitný súhlas. Organizácie si musia viesť všeobecný opis technických a organizačných bezpečnostných opatrení na prácu s osobnými údajmi a tento musí byť aj pravidelne aktualizovaný.

 

Oznamovanie únikov

Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom organizácia informovať Úrad na ochranu osobných údajov, a to do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dopadov. Celkom nový význam tak nadobúda práca s USB kľúčmi, na ktorých si Slováci radi prenášajú údaje. Ak sa takýto USB kľúč stratí a nie je preukázateľne zabezpečený proti ukradnutiu, je to incident, ktorý musíte sami nahlásiť na Úrad na ochranu osobných údajov.
Ak únik údajov predstavuje podľa posúdenia prevádzkovateľa vysoké riziko pre poškodené osoby (dali by sa využiť na vydieranie, páchanie inej trestnej činnosti), musí prevádzkovateľ informovať aj dotknuté osoby. Takýmito údajmi sú napríklad zdravotné záznamy, čísla občianskych preukazov, kreditných kariet, prístupové heslá do rôznych aplikácií a podobne. Po 25. máji sa tak už nebude dať únik dát riešiť iba interne.
Situáciu po 25. máji 2018 budeme pozorne sledovať a informovať vás budeme o tom, ako predpisy GDPR naozaj vstúpili do praxe. Zistíme, či organizácie naozaj prestali s priamym marketingom. Či poklesol spam, telefonáty z neznámych čísiel ponúkajúce hrnce nesmiernej kvality za extra zníženú cenu, ako to bude s newslettrami, sociálnymi sieťami a pod.

ANALÝZA A PRÍPRAVA PLÁNU OPATRENÍ POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV ZMENA PROCESOV NA DOSIAHNUTIE SÚLADU S GDPR
TVORBA ORGÁNOV NA DODRŽIAVANIE ZÁSAD GDPR KONTROLA DODRŽIAVANIA ZÁSAD GDPR, HLÁSENIE INCIDENTOV OPAKOVANÉ
TESTY BEZPEČNOSTI, AKTUALIZÁCIA PREDPISOV

POSTUP PRI ZAVÁDZANÍ GDPR DO PRAXE. PODSTATNÉ SÚ POSLEDNÉ DVA BLOKY, KTORÉ SA MUSIA VYKONÁVAŤ NEUSTÁLE

 

Rozhovor

Pohľad z pozície dodávateľa zariadení na tlač a skenovanie údajov

 

Odpovedá Ján Ftáčnik (JF) technický riaditeľ OKI

* Ako si máme vyberať multifunkčné zariadenie od konca mája?

JF Po 25. máji 2018 si treba starostlivejšie vyberať multifunkčné zariadenia. Hľadajte také zariadenia, ktoré sú vybavené štandardnými a voliteľnými bezpečnostnými funkciami na ochranu dát, či už prenášaných, alebo ukladaných v zariadení, prípadne sa zamerajte na výrobcov, ktorých balíky zabezpečenia splnili bezpečnostné predpisy.
Do interných firemných predpisov na tlač a nakladanie s tlačovými súbormi je v súvislosti s GDPR vhodné zvážiť doplnenie nasledujúcich pravidiel: ?? zabezpečená tlač a vyzdvihnutie výtlačkov je možné výhradne po
autentizácii cez PIN alebo čipovú kartu ?? musíte mať možnosť bezpečného mazania pevného disku v tlačiarni
a časovo definovaného zmazania tlačových súborov ?? prenos tlačových dát medzi zariadením a tlačiarňou musí byť šifrovaný ?? bezpečné ukladanie skenovaných úloh a zabezpečenie obsahu
skenovaných súborov ?? bezpečné uchovávanie vytlačených dokumentov s osobnými údajmi ?? bezpečné skartovanie či iný spôsob likvidácie tlačených dokumentov
s osobnými údajmi ?? treba zvážiť nasadenie malých inteligentných multifunkčných tlačiarní priamo do jednotlivých oddelení, kde sa vo zvýšenej miere pracuje s osobnými údajmi (napr. mzdové, personálne, marketingové, obchodné oddelenie) Rozhovor

 

Pohľad z pozície dodávateľa riešenia GDPR

Odpovedá Tomáš Hlavsa (TH) špecialista na GDPR vo firme Atos

* Aký očakávate prvý mesiac po tom, ako GDPR vojde do platnosti.
Začne sa všetko až potom, ako bude udelená prvá pokuta?

TH To je samozrejme veľká otázka, na ktorú teraz nedokáže odpovedať asi nikto. Ak by som si mal tipnúť, tak zo strany dozorného orgánu nebudú prebiehať žiadne masívne kontroly, aj keď sa nejaké určite vykonajú. A ak by nastala situácia, ktorá vyžaduje udelenie pokuty, som si takmer istý, že sa dozorný orgán bude držať pri jej nižšej hranici. Čo sa dá však podľa môjho názoru očakávať, je veľký nárast požiadaviek zo strany subjektov údajov, ako sú bežní občania, ale aj subdodávateľské firmy, ktoré budú u správcov údajov zisťovať, čo sa o nich vedie a budú trvať na odpovediach.
Ak by som teda mal v posledných týždňoch pred účinnosťou GDPR niekam namieriť svoje úsilie, bolo by to smerom k demonštrácii súladu s GDPR a príprave na masívne spracovanie požiadaviek od subjektov údajov.

* Aká je podľa vás aktuálna situácia v ČR a na Slovensku s úrovňou pripravenosti na GDPR predovšetkým pri stredných a veľkých podnikoch?
Zaostávame za západnou Európou alebo sme viac vpredu?

TH Slovensko vďaka veľmi kvalitnému predchádzajúcemu zákonu č.
122/2013 Z. z. a vykonávacej vyhláške 164/2013 malo oproti ostatným krajinám, hlavne však Českej republike, určitý náskok. Teda tie organizácie (firmy i štátom zriaďované inštitúcie), ktoré sa problematike podľa vyššie uvedených zákonných noriem venovali starostlivo, nemôžu byť nástupom GDPR zaskočené.
Z pohľadu stredných a veľkých organizácií sa dá na základe našich skúseností konštatovať, že organizácie majú veľmi dobre spracovanú bezpečnostnú dokumentáciu vrátane ochrany osobných údajov. Avšak zaznamenali sme nedostatky pri implementácii bezpečnostných opatrení do procesov a návykov zamestnancov. Asi najhoršie ošetrenou oblasťou je potom vzdelávanie v oblasti bezpečnosti, alebo ak chcete udržovanie bezpečnostného povedomia v podniku. Ak vôbec, je veľmi často takéto vzdelávanie v organizáciách vykonávané formálne, bez dôrazu na aktuálne hrozby, ktorým však informácie v organizáciách čelia.

* Ako môže pomôcť ATOS spoločnostiam, ktoré už snáď ten pravý čas na implementáciu GDPR premeškali?

TH Nedá sa povedať, že organizácia premeškala ten „pravý čas“. Začať s uvedením do súladu sa dá aj deň pred účinnosťou GDPR. Samozrejme, záleží na veľkosti organizácie a množstve tzv. spracovateľských operácií. Ale pre akokoľvek veľkú organizáciu platí, že si musí odpovedať na niekoľko základných otázok spojených s uvedením do súladu s GDPR. Teda na aký účel a v akom rozsahu zbiera či spracováva osobné údaje, kam ich ukladá, kto k nim má prístup a komu sú poskytované. Týchto otázok nie je veľa a ak má organizácia v poriadku svoje procesy, nie je ani časovo náročné na ne odpovedať.
Čo samozrejme zaberie viac času, úsilia a prípadne aj finančných prostriedkov je zavedenie tzv. nápravných opatrení technického charakteru. To sú rôzne detekčné systémy, ochranný softvér a pod.
Spoločnosti, ktorá začne s prípravou na GDPR „deň pred účinnosťou“ by som odporúčal, aby si ujasnila odpovede na vyššie uvedené jednoduché otázky. A to je presne aj to, s čím sa Atos snaží pomáhať svojim zákazníkom v tejto fáze.

 

Pohľad z pozície dodávateľa bezpečnostných riešení

Odpovedá Tomáš Mičo (TM) ESET

* Ako sú produkty ESET pripravené na splnenie požiadaviek GDPR?

TM ESET príde do termínu účinnosti GDPR s novými verziami svojich produktov, ktoré popri mnohých technologických novinkách prinesú aj aktualizované dokumenty týkajúce sa nakladania s osobnými údajmi. Keďže princípy ochrany osobných údajov našich zákazníkov boli aplikované už v zmysle súčasnej legislatívy, prichádzame hlavne so zjednodušeným prístupom k informáciám o tom, čo s dátami robíme.
Z pohľadu ochrany osobných údajov sme zrevidovali a sprehľadnili dohody o používaní softvéru (EULA) na základe ktorých naše produkty spravidla získavajú údaje a pripravili sme jasné a zrozumiteľné informácie o spracúvaní údajov (Privacy Policy).

Sprísnenia sa dočkali aj retenčné periódy a niektoré bezpečnostné opatrenia

 

Odpovedá Ondrej Krajč (OK) ESET

* Čo odporúčate firmám nasadiť na to, aby splnili požiadavky GDPR?

OK Nariadenie nehovorí o tom, že firmy musia na splnenie požiadaviek GDPR nasadzovať niečo konkrétne. Každá firma je iná a tým pádom by mal byť aj prístup každej firmy ku GDPR individuálny. Nariadenie je zároveň príliš komplexné na to, aby sme mohli firmám v zopár riadkoch povedať, čo presne majú robiť alebo čo nasadiť. Určite ale vieme odporučiť zvážiť nasadenie šifrovania na ochranu osobných údajov, ktoré každá firma spracováva vo forme údajov o svojich zamestnancoch alebo zákazníkoch. GDPR nehovorí, že šifrovanie je potrebné. Hovorí však to, že ak vám uniknú osobné údaje v zašifrovanej podobe, nebudete o tom musieť informovať osoby, ktorých údajov sa únik týkal. Je to poistka pred veľkým reputačným rizikom. Ak sa totiž váš zákazník dozvie, že vám unikli jeho údaje, môže si rýchlo rozmyslieť, či prejde ku konkurencii. Šifrovanie taktiež minimalizuje riziko pokút, ktoré sú v prípade úniku osobných údajov v čitateľnej forme viac než pravdepodobné.

 

Pohľad z pozície telekomunikačného operátora so silnou orientáciou na firemný segment

Odpovedá Ing. Jozef Priesol, PhD.
Data Protection Officer, Slovanet

* Aký najjednoduchší spôsob navrhujete pre firmy, ktoré pozabudli na májový termín na splnenie požiadaviek GDPR?

JP Firemným záujemcom o pomoc v oblasti GDPR dokáže Slovanet zabezpečiť v partnerstve so subdodávateľmi nasledovné služby: bezpečnostný audit sieťovej infraštruktúry a tiež analýzu dát vo vzťahu k osobným údajom a identifikátorom (aké, koľko, ich toky, klasifikácia...). V súvislosti s požiadavkami GDPR upozorňujem na naše služby vpn:LINK (bezpečná technológia prepojenia pobočiek prostredníctvom multiservisnej siete Slovanetu alebo internetu), cloud:LINK (virtualizácia serverov a zálohovanie dát v cloude), safe:LINK (viac ako 12 bezpečnostných služieb), server:LINK (bezpečne uložené výpočtové zdroje a kontinuálny monitoring dostupnosti) a backup:LINK (automatizované a jednoducho implementovateľné riešenie zálohovania a manažmentu zálohovaných dát s centrálnou správou cez web rozhranie).