Zmena v ochrane osobných údajov sa už nezadržateľne blíži

Čo je to GDPR

Ide o nové nariadenie Európskej únie, respektíve General Data Protection Regulation, ktoré má priniesť silnejšiu ochranu osobných údajov. Nový zákon sa bude vzťahovať skutočne na každého, kto bude pracovať s osobnými údajmi. Preto ani tá najmenšia firma, ktorá spracúva len osobné údaje svojho jediného zamestnanca, sa týmto normám nevyhne. S blížiacim sa termínom 25. mája sa postupne upresňujú detailné požiadavky, ktoré musia firmy spĺňať.

Bude potrebný aktívny súhlas

Takzvaná Pracovná skupina 29, ktorá je poradným orgánom a vydáva stanoviská a usmernenia k ochrane osobných údajov, vydala v poslednom čase viacero stanovísk a usmernení napríklad k udeľovaniu súhlasu so spracovaním osobných údajov na internete.

„Podľa usmernenia Pracovnej skupiny 29 súhlas na spracúvanie osobných údajov môže byť na internete udelený napríklad aj tým, že užívateľ potiahne prst po obrazovke prístroja, zamáva pred inteligentnou kamerou alebo otočí telefónom dookola v smere hodinových ručičiek či v tvare osmičky. Naopak iba obyčajné prescrollovanie cez obchodné podmienky, ktorým ste udelili súhlas, už nebude postačovať. Firmy, ktoré pracujú s osobnými údajmi na internete, preto musia pôvodný postup zmeniť,“ vysvetľuje advokát Pavol Szabo z advokátskej kancelárie GHS Legal.

Ľudia nie sú dostatočne informovaní

Zo skúseností väčšina firiem neinformuje ľudí o tom, že spracúva ich osobné údaje, na aký účel ich spracúva, komu sú sprístupňované a poskytované, kam sú prenášané, na akú dobu ich uchovávajú a podobne. Firmy sú však povinné poskytnúť týmto osobám podstatnú časť týchto informácií už podľa aktuálne účinného zákona a GDPR.

Toto nariadenie kladie väčší dôraz na transparentnosť, individuálne práva ľudí a ochranu ich osobných údajov. Ak firma v rámci kontroly nepreukáže úradu, že poskytla dotknutej osobe príslušné informácie o spracúvaní jej osobných údajov, hrozí firme mastná pokuta.

TIP: GDPR – čo musia plniť malí a strední podnikatelia

Zdroj: shutterstock

Už žiadne formuláre

Po novom už bude musieť byť každé nastavenie bezpečnosti ochrany osobných údajov „šité na mieru“, a to jednak po technickej, ako aj po formálnej stránke. A to vrátane uzatvorenia riadne vymožiteľných zmlúv. Úrad, ktorý sa zaoberá ochrane osobných údajov sa bude zaujímať, či firma pred každým spracúvaním osobných údajov posúdila, aké osobné údaje spracúva a či ich môže spracúvať v súlade s nariadením, kde sú uložené, kam ich poskytuje a podobne.

A podľa toho bude posudzovať prijaté technické zabezpečenie, formálnu, prípadne zmluvnú dokumentáciu. Preto už nebudú postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov.

• Komentár: Prichádza koniec európskeho rastu?

Nahlasovanie úniku osobných údajov

Ak dôjde k úniku osobných údajov a bude to pre ľudí znamenať riziko pre ich práva, musí firma, ktorá osobné údaje spracúva oznámiť úradu únik najneskôr do 72 hodín. V závažnejších prípadoch musí únik osobných údajov dokonca okamžite oznámiť aj samotnej dotknutej osobe. To podľa Pracovnej skupiny 29 znamená, že ak sa napríklad v prípade nemocníc stanú kritické lekárske dáta pacientov čo i len dočasne nedostupnými, môže ísť o riziko pre práva dotknutých osôb.

Naopak, ak vypadne prúd vo vydavateľstve a toto nebude môcť zasielať novinky svojim odberateľom, je nepravdepodobné, aby tým by boli porušené práva dotknutých osôb. Tieto situácie musí zohľadniť každá firma či inštitúcia podľa druhu zbieraných údajov a patrične sa na ne pripraviť.

Firmy nie sú pripravené

Aj keď firmy majú už dlhšie povinnosť dbať na ochranu osobných údajov a na sprísnenie opatrení v súvislosti s GDPR mali dostatok času. Podľa skúseností niektorých odborníkov vyplýva, že drvivá väčšina firiem nikdy nemala údaje dostatočne zabezpečené už podľa aktuálne účinných pravidiel. Tým pádom budú mať ešte ťažší prechod na GDPR do mája v tomto roku.

Stav nepripravenosti potvrdzuje aj prieskum britskej vlády, podľa ktorej len 38 % firiem počulo o GDPR a len štvrtina z nich už reálne zmenila svoj systému spracúvania osobných údajov. Dokonca podľa prieskumu pravdepodobne iba 13 % retailu a veľkoobchodov zaviedlo systém do súladu s GDPR. Situácia v slovenských firmách preto nie je o nič lepšia.

Ak sa firmy ešte nepustili do úprav svojho systému spracúvania osobných údajov, mali by si najprv presne zistiť, s koho osobnými údajmi a v akom rozsahu dnes pracuje. Následne by mali osloviť advokátov, ktorí sa špecializujú na GDPR, aby v prvom kroku zanalyzovali tok osobných údajov. Následne môžu advokáti vypracovať príslušnú dokumentáciu, ktorú GDPR vyžaduje, v spolupráci s IT odborníkmi, ktorí sa zase postarajú o technickú bezpečnosť.