Dôležité zmeny v ochrane osobných údajov GDPR

22. septembra 2017

GDPR

Nová európska legislatíva na ochranu osobných údajov (GDPR) nadobúda účinnosť už 25. mája 2018. Prináša množstvo zmien, medzi ktoré patrí predovšetkým testovanie zabezpečenia online prostredia alebo poverenie osôb zodpovedných správou osobných údajov.

Súhlas so spracovaním osobných údajov

Ak vlastníte web, e-shop alebo robíte online dotazník, určite máte políčko na zaškrtnutie so súhlasom o narábaní s osobnými údajmi. Takto vopred začiarknutý súhlas už nebude platný. S novým spracovaním osobných údajov, bude potrebné si vyžiadať nové súhlasy.

Mení sa aj súhlas so spracovaním osobných údajov detí. Za deti, mladšie ako 16 rokov, môže udeliť súhlas len rodič alebo ich zákonný zástupca.

Nové nariadenie spresňuje podmienky vyjadrenia súhlasu:

  • súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný
  • súhlasu treba udeliť konkrétny účel, pre viac účelov treba každý vymenovať
  • súhlas odvolať musí byť také jednoduché, ako poskytnutie súhlasu

Posilňujú sa práva osôb

Rozširujú a spresňujú sa práva osôb na lepšiu kontrolu nad osobnými údajmi. Medzi ne patrí napríklad právo na:

  • informácie
  • prístup k osobným údajom
  • opravu
  • vymazanie/zabudnutie – Toto právo nadväzuje na staršie „právo na výmaz“. Jednotlivec si ho môže uplatniť napríklad v prípade, ak sú dáta spracované protizákonne alebo sa rozhodol odvolať súhlas so spracovaním osobných údajov.

„Klienti budú mať právo na zmazanie alebo presun osobných údajov z vašej databázy.“

  • Právo na obmedzenie spracúvania
  • Právo na prenosnosť údajov – Dotknutá osoba bude mať po novom právo previesť si svoje osobné údaje k inému prevádzkovateľovi. Pôvodný prevádzkovateľ je povinný jej tieto údaje poskytnúť v bežnom formáte. Ako príklad môžeme uviesť zmenu mobilného operátora. Pokiaľ sa používateľ rozhodne po 25. 5. 2018 preniesť svoje číslo k inému operátorovi, pôvodný operátor musí poskytnúť novému operátorovi používateľa aj osobné údaje (ich typ upravuje priamo nariadenie) spojené s využívaním jeho služieb počas doby poskytovania služby.
  • Právo namietať
  • Právo namietať profilovanie

Bezpečnostné opatrenia

Pri  spracovávaní osobných údajov, zodpovedáte za ich bezpečnosť pred kybernetickými útokmi. Vašou povinnosťou bude prijať primerané bezpečnostné opatrenia, napríklad:

  • pseudonymizácia
  • šifrovanie
  • zabezpečenie trvalej dôvernosti, integritu a dostupnosť systémov/ služieb
  • schopnosť včas obnoviť dostupnosť osobných údajov v prípade incidentu

Pravidelné testovanie bezpečnosti

Dôležitým bezpečnostným opatrením bude aj pravidelné testovanie a posudzovanie účinnosti prijatých bezpečnostných opatrení na zaistenie bezpečnosti spracúvania údajov (napr. penetračné testybug bounty programy). Súčasťou tohto opatrenia je aj preverovanie bezpečnosti aplikácie či webu, cez ktoré dochádza k toku osobných údajov.

Pre firmy to znamená, že musia venovať pozornosť tomu, ako majú nakódovaný web a či neobsahuje bezpečnostné diery, cez ktoré ho je možné hacknúť a ukradnúť dáta.

Ak neviete, či je váš web alebo mobilná aplikácia dostatočne bezpečná, nechajte si ju otestovať etickými hackermi z Citadelo alebo z hacktrophy.com.

Dokumentácia

Po novom ste povinní dodržiavať ochranu osobných údajov. Vašou povinnosťou je preukázať, ako sa táto požiadavka dodržuje. Preto je nevyhnutné mať k dispozícii potrebnú dokumentáciu, ktorú je možné vytvoriť napríklad:

  • internými smernicami (dochádzka, nakladanie so spismi, identifikácia incidentov,  kamerový systém, elektronická pošta, zálohovanie)
  • zdokumentovaním prijatých bezpečnostných opatrení
  • školením zamestnancov o povinnostiach pri spracúvaní osobných údajov

Zavádza sa oznamovacia povinnosť

Každý prevádzkovateľ a sprostredkovateľ bude povinný oznámiť prípadný incident, čiže porušenie ochrany osobných údajov, do 72 hodín Úradu na ochranu osobných údajov SR.  V prípade incidentu a možného odcudzenia osobných údajov, bude povinnosťou oznámiť incident aj dotknutej osobe.

Ďalšou zmenou je povinnosť dokumentovať prípady porušenia ochrany osobných údajov a nutnosť predložiť ich úradom na vyžiadanie.

Každý, kto spracováva osobné údaje, by si mal odpovedať na nasledujúce otázky:

  • dokážete včas detegovať incident a porušenie ochrany osobných údajov?
  • dokážete riadne a včas vyhodnotiť incident, jeho následky a prijať opatrenia?

Bude potrebné mať zodpovednú osobu?

Ak spracovávate veľké množstvo osobných dát alebo sú tieto údaje citlivé, určite zodpovednú osobu (môže byť aj právnický subjekt). Určite vám odporúčame, aby ste:

  • zaznamenali internú analýzu, či zodpovedná osoba má alebo nemá byť menovaná a preukázať, že ste vzali do úvahy všetky relevantné faktory
  • poverili v rámci svojej organizácie osobu, ktorá bude mať ochranu osobných údajov „v popise práce“

Najvyšší čas venovať pozornosť IT bezpečnosti

Pri porušení povinností GDPR hrozí pokuta až do výšky 20 miliónov EUR alebo 4 % celkového obratu za predchádzajúci účtovný rok (podľa toho, ktorá suma je vyššia). Rovnako tak aj každá osoba, ktorá utrpela ujmu v dôsledku porušenia nariadenia, má právo na náhradu škody.

Uplatnenie nového nariadenia GDPR tak významne zvyšuje nároky na slovenské a české firmy. Firmy sú po novom povinné testovať zabezpečenie online systémov, cez ktoré dochádza k pohybu osobných údajov. Firmy by mali mať prehľad o toku osobných údajov a pravidelne preverovať, posudzovať a vyhodnocovať účinnosť a vhodnosť prijatých bezpečnostných opatrení.

Ako začať?

  • Identifikujte, ktoré osobné údaje máte / spracúvate vo firme a či ich spracúvate zákonne a na účel, na ktoré boli získané.
  • Zodpovedajte si otázku, ktoré údaje naozaj potrebujete; nepotrebné údaje nezbierajte a vymažte.
  • Identifikujte tok osobných údajov vo vašej organizácii – ako a kde sú ukladané, chránené či vymazávané a kto k ním má prístup.

Ste pripravení?

Pripraviť právne, personálne a technické podmienky pre realizáciu nariadenia môže byť pre mnoho firiem náročné. Neváhajte preto kontaktovať externé firmy, ktoré sa v problematike orientujú a delegovať tieto úlohy na nich.

Digmia vám vieme pomôcť s auditom vašich osobných údajov vo firme. Citadelo vám pomôže otestovať bezpečnosť vášho online prostredia alebo vyškolí vašich zamestnancov. Otestovať pripravenosť vašich dát s osobnými údajmi na vyhlášku GDPR môžete vyplnením jednoduchého formulára.





Prednášky a workshopy na marec

Otvorenie hackerspace Progressbar, ktorý sponzoruje aj DIGMIA, prebehlo vo veľkom štýle. Zaujímavé prednášky, množstvo ľudí so záujmom o technológie aČítajte ďalej

ccc
29C3: Not My Department

Chaos Communication Congress (skrátene CCC alebo C3) sa už tradične odohráva medzi Vianocami a Silvestrom. Tento termín je hlavne zČítajte ďalej

digmia ranajky
Digmia raňajky- jeseň 2017

Ako zefektívniť vývoj a prevádzku aplikácií CI/CD v Docker a Swarm? O tom boli jesenné Digmia raňajky, na ktorých sme pohostili našich partnerov a klientov. ...