gdpr-ta3

Ochrana osobných údajov po novom. Ako sa pripraviť na GDPR?

Peter Fuska, CEO Digmia, o tom, čo prinesie nové nariadenie GDPR fyzickým osobám aj podnikateľom, čo to znamená v praxi a ako sa na to môžu firmy pripraviť. Prečítajte si rozhovor alebo si pozrite video.

Aké zmeny prináša nové nariadenie v oblasti ochrany osobných údajov (OU) pre firmy?

Nové nariadenie EU o ochrane osobných údajov (GDPR) nadobúda účinnosť jednotne v celej EU 25.5.2018. Nariadenie prináša zvýšenú ochranu fyzických osôb v oblasti spracovávania osobných údajov najmä zo strany podnikateľov a subjektov verejnej správy a samospráv. Pre fyzické osoby sa tak rozširuje rozsah práv, ktoré si môžu uplatniť pri spracovávaní osobných údajov ako právo na prenosnosť osobných údajov, obmedzenie spracúvania alebo úplný výmaz osobných údajov. Rovnako na strane podnikateľov a inštitúcií (či už v pozícii prevádzkovateľa alebo sprostredkovateľa) zavádza povinnosti, ktoré musí podnikateľ splniť, ak si chce fyzická osoba uplatniť svoje práva v oblasti ochrany osobných údajov.

Aké konkrétne zásady alebo princípy ochrany OU nariadenie prináša a čo to znamená v praxi?

Nariadenie definuje 8 zásad, ktorým sa bude po novom riadiť spracúvanie osobných údajov dotknutých osôb. Spomeniem len tie kľúčové:

Zásada zákonnosti a obmedzenia účelu, t.j. osobné údaje môžeme získavať zákonne a len na konkrétny účel a spracovávať ich len spôsobom, ktorý je s týmto účelom zlučiteľný. Pre vymedzenie účelu má podnikateľ buď oporu v iných zákonoch (napr. zákon o sociálnom/zdravotnom poistení, keď zbiera OU pri nahlasovaní pracovníka do sociálnej alebo zdravotnej poisťovne) alebo je spracovanie nevyhnutné pre plnenie zmluvy alebo na predzmluvné opatrenia (napr. pri kúpe dovolenkového zájazdu alebo letenky) alebo existuje oprávnený záujem podnikateľa pre spracovanie (napr. ochrana vlastného majetku pri vstupe do priestorov). Samozrejme osobné údaje možno spracovávať na základe vysloveného súhlasu fyzickej osoby, čo bude v mnohých prípadoch jediné zákonné riešenie.

Zásada minimalizácie z hľadiska rozsahu a doby uchovávania osobných údajov, t.j. podnikateľ si musí preveriť, či napr. pre účel výberového konania zbiera v rámci dotazníka len tie údaje, ktoré sú relevantné pre rozhodovanie o kandidátoch a rovnako nebude možné, aby uchovával životopisy neúspešných kandidátov dlhodobo už po výbere a obsadení pozície (určite veľa manažérov nájde vo svojich mailoch alebo šanónoch takéto životopisy).

Zásada integrity a dôvernosti, t.j. podnikateľ musí mať zavedené primerané technické prostriedky a opatrenia, ktoré bezpečnosť osobných údajov zaručujú a zamedzia či už neoprávnenému prístupu, poškodeniu alebo strate osobných údajov.

Spomínali ste technické prostriedky a organizačné opatrenia na zaručenie bezpečnosti spracúvania osobných údajov. Vedeli by ste uviesť príklady, ako zvýšiť bezpečnosť?

V prípade technických prostriedkov existuje pomerne široká škála, určite by som začal oblasťami, kde existuje vysoká zraniteľnosť – ochrana PC, hlavne notebookov, ktoré pracovníci bežne prenášajú medzi prácou a domovom. Zavedenie šifrovania disku na notebooku je kľúčová pri ochrane dát v prípade krádeže. Dôležitá je aj ochrana dát pri elektronickom prenose dát medzi sídlom spoločnosti a externým stranami – prenos cez šifrovaný VPN tunel považujem za nevyhnutnosť, aby osobné údaje neboli odchytené a zneužité. Riadenie prístupov zamestnancov k osobným údajom je dôležite najmä pre minimalizáciu zneužitia osobných údajov vo vnútri spoločnosti. Odporúča sa zaviesť 2-faktorovú autentifikáciu, ktorá okrem loginu a hesla vyžaduje ešte ďalší dodatočný spôsob overenia osoby, ktorá pristupuje k osobným údajom (napr. token).

Ak nakoniec dôjde k incidentu napr. k strate alebo krádeži osobných údajov, aké kroky sú potrebné na strane prevádzkovateľa?

Na začiatku je dôležité posúdiť aká vysoká je pravdepodobnosť, že krádež napr. notebooku povedie k vysokému riziku z pohľadu práv dotknutých fyzických osôb. Ak lekárovi ukradnú notebook s nešifrovaným diskom, na ktorom má citlivé údaje o zdravotnom stave pacientov, riziko je vysoké a prevádzkovateľ je povinný oznámiť incident úradu pre ochranu osobných údajov do 72 hodín od jeho vzniku. Rovnako o takomto porušení/incidente je potrebné informovať dotknuté osoby. Pre komunikáciu s úradom aj s dotknutými osobami je vhodné mať v spoločnosti definovanú tzv. zodpovednú osobu. Nie každý prevádzkovateľ však musí mať nevyhnutne takúto osobu určenú - týka sa to napr. orgánov verejnej moci alebo spracovateľov, ktorí spracúvajú osobitné kategórie údajov ako genetické, biometrické, zdravotné a podobne.

Nové nariadenie nadobúda účinnosť 25.5.2018. Ako sú podnikatelia a inštitúcie pripravené a čo je potrebné urobiť, aby dosiahli súlad s týmto nariadením?

Veľa najmä malých a stredných podnikateľov bolo presvedčených, že nariadenie sa ich netýka, alebo ich zasahuje veľmi okrajovo a preto sa téme nevenovali. Keď si však uvedomíme, že osobné údaje sú najčastejšie súčasťou zákazníckych a zamestnaneckých dát (každý podnikateľ má zákazníkov a prevažná väčšina aj zamestnáva fyzické osoby), nariadeniu sa nedá vyhnúť. Z hľadiska pripravenosti je väčšina podnikateľov v prvej – analytickej fáze, v ktorej zisťuje, v ktorých procesoch/funkčných oblastiach je alebo nie je v súlade s nariadením. Časť (skôr menšina) má pripravený implementačný plán a začala so zavádzaním opatrení pre kritické oblasti.

Pre dosiahnutie súladu s nariadením by mal každý spracovateľ uskutočniť aspoň tri základné kroky:

  1. Vykonať tzv. GAP analýzu, t.j. prezrieť si svoje biznis procesy, zmapovať ako osobné údaje tečú cez organizáciu a posúdiť, v ktorých oblastiach nespĺňa požiadavky nariadenia (napr. posúdiť či existujú účely pre zber a spracovanie osobných údajov)
  2. Pripraviť návrh opatrení, vyhodnotiť ich z pohľadu nákladov a času a vytvoriť si implementačný plán
  3. Spustiť realizáciu krokov, ktoré môžu pokrývať najmä oblasti: o Technické (IT) - šifrovanie, pseudonymizácia, 2-faktorová autentifikácia a iné o Organizačné - zmena rozsahu zbieraných osobných údajov v procesoch, úpravy v oprávneniach zamestnancov spracovávajúcich osobné údaje alebo je zmena fyzických prístupov do priestorov, v ktorých sa spracovávajú citlivé osobné údaje. o Právne a dokumentačné – príprava textov pre súhlas so spracovaním osobných údajov, príprava a podpisovanie spracovateľských zmlúv s obchodnými partnermi, prípadne zavedenie kódexu správania a pod.

Podobné blogy