Približne 530-tisíc subjektov na Slovensku sa bude musieť pripraviť na prísnejšiu ochranu osobných údajov, ktorú diktuje najväčšia európska regulácia GDPR – General Data Protection Regulation. Budú musieť zmeniť procesy a informačné systémy, čo ich bude stáť vyše 40 miliónov eur. S prípravou musia začať už dnes, aby stihli zosúladiť svoje systémy s novými požiadavkami. Inak im hrozia likvidačné pokuty.

Výber najdôležitejších zmien

Na rozsiahlu reguláciu GDPR sa pozreli odborníci z certifikačnej spoločnosti TÜV SÜD Slovakia, ktorí budú slovenské spoločnosti auditovať na súlad s novými požiadavkami. GDPR nadobudne účinnosť koncom mája budúceho roka a jej cieľom je zvýšiť ochranu osobných údajov a posilniť práva fyzických osôb. Slovensko k európskemu nariadeniu pripravilo nový zákon o ochrane osobných údajov, ktorý je momentálne v pripomienkovom konaní. Výber najdôležitejších zmien zostavil audítor TÜV SÜD Slovakia Igor Straka.

Likvidačné pokuty

Na dodržiavanie pravidiel bude dohliadať slovenský Úrad na ochranu osobných údajov. Predpokladá sa, že nebude kontrolovať spoločnosti, ktoré súlad s GDPR preukážu auditom od certifikačnej autority. Ak úrad zistí porušenie, môže spoločnosť upozorniť, dať jej úradné pokarhanie, pozastaviť spracovanie údajov, prípadne udeliť pokutu až 20 miliónov eur alebo maximálne 4 percentá z celkového ročného obratu.

Účel spracovania osobných údajov

Spoločnosti majú často až niekoľko desiatok rôznych databáz, v ktorých zhromažďujú rôzne skupiny osobných údajov. Nová regulácia prísnejšie stanovuje, aké právne základy sú zákonné. Ako právny základ už neobstojí napríklad spracúvanie údajov, ktoré už boli zverejnené alebo spracúvanie údajov pre priamy marketing. Pre tieto prípady budú musieť hľadať firmy iné zákonné dôvody, získať súhlasy dotknutých osôb alebo jednoducho prestať zhromažďovať údaje s týmto účelom.

Udelenie súhlasu

Ak pre spracovanie osobných údajov nenájde spoločnosť právny základ, musí naň mať súhlas dotknutých osôb. Najväčšími zmenami oproti súčasnému stavu je nutnosť získať súhlas na každý účel spracovania osobných údajov zvlášť, pričom tento súhlas musí byť jasne oddelený od ostatných častí – napríklad ako samostatný článok zmluvy. V prípade elektronických dokumentov je najdôležitejšou zmenou zákaz zaškrtnutia políčka udelenia súhlasu vopred. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas nepovažujú. Spracúvanie údajov detí na základe súhlasu bude možné od 16 rokov, inak bude potrebný súhlas rodičov.

Priznanie úniku

Do 72 hodín od zistenia porušenia ochrany osobných údajov musí spoločnosť informovať Úrad na ochranu osobných údajov. Súčasťou oznámenia musí byť aj opis pravdepodobných dopadov a prijatých alebo plánovaných opatrení na nápravu. Ak existuje vysoké riziko pre práva a slobody dotknutých osôb, musí spoločnosť porušenie oznámiť aj im. Ak by si informovanie všetkých dotknutých osôb vyžiadalo neprimerané úsilie, môže spoločnosť zvoliť aj inú cestu a informovať o tom verejnosť.

Poskytovanie informácií

Na požiadanie budú musieť spoločnosti dotknutej osobe poskytnúť kópie osobných údajov, ktoré o nej spracúvajú, s akým účelom a kto k nim má prístup. Splnenie tejto požiadavky si vyžiada veľké zásahy do existujúcich informačných systémov, keďže takéto funkcionality dnes bežne neobsahujú. Na vyhovenie žiadosti budú mať mesiac, v zložitých prípadoch tri mesiace. Ak by bola žiadosť osoby o informácie neopodstatnená alebo sa opakovala, môže spoločnosť službu spoplatniť alebo odmietnuť.

Právo na vymazanie / zabudnutie

Už dnes je v legislatíve niektorých štátov zakotvené právo dotknutej osoby na zabudnutie v internetovom prostredí. GDPR zjednocuje definíciu a podmienky uplatnenia tohto práva a nazýva ho právo na výmaz. Osoba môže žiadať o výmaz, ak sa naplnil účel spracovania jej osobných údajov, ak odvolá súhlas či ak sa spracúvali nezákonne. Pravidelne musí plnenie účelu kontrolovať a prípadne likvidovať aj samotná spoločnosť z vlastnej zodpovednosti. Okrem toho musí informovať aj všetkých príjemcov zverejnených údajov, aby vymazali odkazy na tieto údaje. Spoločnosť nevyhovie žiadosti o výmaz, ak jej spracovanie údajov prikazuje iný právny základ (napríklad banky musia podľa zákona o bankách uchovávať určitú dobu informácie o hypotekárnom úvere aj po jeho splatení).

Bezpečnosť spracovania

Spoločnosti musia prijať opatrenia, aby spracúvali osobné údaje bezpečne. Môžu údaje pseudonymizovať, napríklad šifrovať. To umožňuje priamu identifikáciu osoby až po odšifrovaní. Za vhodné bezpečnostné opatrenia sa považuje aj schopnosť včas obnoviť dostupnosť osobných údajov v prípade incidentu, pravidelné testovanie a v určitých prípadoch posudzovanie vplyvov spôsobu spracovania na ochranu osobných údajov. Súčasťou týchto opatrení je aj minimalizácia spracúvaných údajov. Firmy by si nemali pýtať osobné údaje navyše len pre istotu. Regulácia nabáda aj k ochrane „by design“, čo zjednodušene znamená, že spoločnosti by už pri vývoji nových produktov, služieb či postupov mali zapracovať požiadavky vyplývajúce z GDPR.

Rozšírenie pôsobnosti

GDPR rozšírila definíciu pojmu osobný údaj. Nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Ochrana sa teda vzťahuje aj na dáta ako sú lokalizačné údaje, email či IP adresa. Rozšírila sa aj teritoriálna pôsobnosť ochrany – vzťahuje sa na prevádzkovateľov a sprostredkovateľov z Európskej únie bez ohľadu na to, kde spracúvajú údaje. A zároveň sa vzťahuje aj na prevádzkovateľov a sprostredkovateľov mimo EÚ, ktorí spracúvajú údaje osôb z EÚ.

Ako začať s prípravou

Podľa Igora Straku väčšina spoločností na Slovensku neriadi informačnú bezpečnosť dostatočne a môže byť pre ne veľmi náročné splniť všetky nové pravidlá. Ideálnou prípravou na GDPR je podľa neho zavedenie medzinárodných noriem v oblasti riadenia procesov (ISO 9001) a v oblasti informačnej bezpečnosti (ISO 27001) v spoločnostiach. „Firma, ktorá má zavedené procesné riadenie a riadenie informačnej bezpečnosti podľa ISO štandardov, zvládne zosúladenie s GDPR rádovo v mesiacoch. Firme, ktorá nemá procesné riadenie, nemá informačnú bezpečnosť, to môže trvať pol roka, rok, alebo sa jej to nepodarí vôbec,“ uvažuje Straka.

Norma ISO 27001 je špeciálne určená pre systémy manažérstva informačnej bezpečnosti a zohľadňuje najnovšie medzinárodné trendy a skúsenosti najväčších spoločností sveta. Obsahuje konkrétne organizačné, technologické, personálne a systémové odporúčania pre riadenie informačnej bezpečnosti v spoločnosti.

Logo_GDPRRedakcia Simple Talent sa bude zmenám venovať podrobne. V najbližších týždňoch zmapujeme najväčšie nástrahy, ktoré GDPR prinesie pre procesy v HR. Neváhajte sa nás pýtať. Čakáme vaše otázky na adrese redakcia@simpletalent.sk.

red, 21.8.2017