GDPR
Čo je GDPR?
GDPR (General Data Protection Regulation) je skratka pre nariadenie EÚ 2016/679 o ochrane osobných údajov, ktoré bolo prijaté Európskym parlamentom a Radou EU o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov. Nariadenie bolo prijaté v apríli 2017, pričom je záväzné pre všetky členské štáty EÚ a začne platiť 25. mája 2018.
Cieľom tohto nariadenia je hájiť práva občanov proti neoprávnenému zaobchádzaniu s ich citlivými a osobnými údajmi. Tieto pravidlá rešpektujú právo na ochranu osobných údajov občanov bez ohľadu na ich štátnu príslušnosť alebo bydlisko.
Nové nariadenie o ochrane osobných údajov GDPR predstavuje novú legislatívu, ktorá výrazne zvýši ochranu osobných údajov občanov v digitálnom svete. Cieľom nariadenia je dať európskym občanom väčšiu kontrolu nad tým, čo sa s ich údajmi deje a zároveň zjednotiť existujúce zákony o ochrane osobných údajov v rámci EU.
Koho sa týka GDPR?
Ochrana poskytovaná týmto nariadením sa týka spracovania osobných údajov fyzických osôb alebo firiem (právnických osôb). Ochrana fyzických osôb sa vzťahuje ako na automatizované spracovanie osobných údajov, tak na manuálne spracovanie, pokiaľ sú tieto údaje uložené v evidencii alebo do nej majú byť vložené.
Nariadenie teda platí pre firmy, inštitúcie aj jednotlivca zo všetkých odvetví, ktorí pracujú s osobnými údajmi zamestnancov, zákazníkov, klientov či dodávateľov. GDPR sa venuje ochrane digitálnych práv občanov, taktiež zahrňuje aj subjekty, ktoré sledujú či analyzujú správanie užívateľov na webe. V prípade závažného porušenia budú firmám hroziť vysoké pokuty.
Zároveň sa bude vzťahovať na všetky firmy, ktoré podnikajú v rámci EÚ, ale aj zahraničné subjekty, ktoré pracujú s údajmi občanov EÚ.
Zásady ochrany údajov by sa mali uplatňovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzické osoby.
Nariadenie sa teda týka veľkej väčšiny inštitúcií: väčších spoločností i menších firiem, ak napríklad spracúvajú údaje o svojich klientoch, využívajú dáta na marketingové účely, monitorujú správanie svojich zákazníkov, majú kamerový systém alebo e-shop. Ide o všetky organizácie, ktoré majú dochádzkový systém svojich zamestnancov, databázu zákazníkov, či uchádzačov o zamestnanie, zálohujú a archivujú údaje, zmluvy alebo šifrujú dáta. Teda všetky firmy, ktoré majú osobné údaje uložené na serveroch, posielajú ich po sieťach do dátových úložísk a využívajú rôzne aplikácie.
Dotýka sa GDPR taktiež Vašej spoločnosti?
S najväčšou pravdepodobnosťou Áno:
- ak má Vaša spoločnosť zamestnancov – fyzické osoby,
- ak používate dochádzkový alebo kamerový systém,
- ak vediete evidenciu svojich zákazníkov (súčasných aj minulých), evidenciu projektov,
- ak máte uložené údaje o osobách z partnerských organizácií alebo od externých dodávateľov,
- ak prevádzkujete e-shop,
- ak ukladáte osobné údaje do cloudu.
GDPR sa týka všetkých firiem a organizácií, ktoré pôsobia v EU a pracujú s osobnými údajmi.
Čo to pre Vás znamená?
Hlavné povinnosti, ktoré vám z GDPR vyplývajú, sú napríklad:
- zabezpečenie prevencie pred únikom dát a osobných údajov,
- predchádzanie neoprávnenému prístupu k osobným údajom,
- zavedenie anonymizácie osobných údajov,
- povinnosť určenia zodpovednej osoby,
- zaručenie bezpečného mazania/likvidácie osobných údajov,
- riadenie a monitorovanie aktivít s osobnými údajmi,
- zabezpečenie odolnosti systémov spracúvajúcich osobné údaje proti výpadkom a strate dát,
- schopnosť včas identifikovať bezpečnostné incidenty, analyzovať ich a zdokumentovať,
- pravidelné testovanie bezpečnosti osobných údajov,
- zavedenie šifrovania dát a osobných údajov.
Koľko času Vám ostáva?
Vaša spoločnosť je povinná zaviesť opatrenia GDPR do 25. mája 2018, kedy sa začne uplatňovať nariadenie EÚ. Po tomto termíne vám hrozí pokuta až 20 mil. eur alebo 4% z ročných tržieb. Nečakajte, že vás zachráni „magic tool“, ktorý vám všetko ohľadom GDPR vyrieši sám. Problematika GDPR je komplexná a najefektívnejšia cesta je začať ju riešiť už teraz.
Aká je maximálna pokuta?
Maximálna pokuta za nedodržanie zákona je až 20 miliónov Eur alebo 4% z ročných tržieb.
Hlavné zmeny súvisiace s GDPR:
- nariadenie zavádza nové opatrenia a pojmy - pseudonymizácia, profilovanie, genetický údaj, skupina podnikov a pod.,
- ďalšie údaje budú považované za osobné za istých okolností - IP adresy, cookies, RFID, e-mailové adresy, lokalizačné údaje a pod.,
- bude možné napadnúť rozhodnutie spoločnosti vykonané na základe osobných údajov (napr. kategorizácia zákazníka na základe príjmu, pohlavia, lokalizácie a pod.),
- zavádza osobitnú ochranu osobných údajov detí,
- rozširuje povinnosti a zodpovednosti sprostredkovateľov,
- zavádza nové oznamovacie povinnosti voči dotknutým osobám i inštitúciám verejnej správy (napríklad voči dozornému orgánu do 72 hodín),
- upravuje právo na prenosnosť osobných údajov,
- zavádza právo byť informovaný o všetkých osobných údajoch spracúvaných u prevádzkovateľa,
- zavádza právo na opravu nesprávnych osobných údajov,
- zavádza právo na zabudnutie - právo na vymazanie osobných údajov.
Na čo sa treba pripraviť:
Povinné nahlasovanie incidentov – o porušení ochrany osobných údajov do 72 hodín od incidentu
Posúdenie vplyvu rizika – napríklad ak firma zavádza nejakú novinku v oblasti spracovania osobných údajov, ktorá je spojená s určitým rizikom, musí najprv vykonať tzv. posúdenie vplyvu. Ak táto analýza rizík poukáže na vysoké riziko, musí získať predbežný súhlas od Úradu na ochranu osobných údajov pred jej zavedením do praxe
Vymenovanie Data Protection Officera – spoločnosti, ktoré sa zaoberajú pravidelným monitorovaním jednotlivcov, spracúvajú citlivé osobné údaje, budú musieť formálne vymenovať nezávislú zodpovednú osobu
Väčšie práva pre jednotlivcov – jednotlivec má „právo byť zabudnutý” a podmienky použitia dát na iný účel, než boli získané, budú výrazne sťažené
Súhlas na spracovanie údajov – tento súhlas musí byť vždy jednotlivcom vyjadrený a odsúhlasený
Osobné údaje detí – je potrebné, aby mali organizácie, spoločnosti, firmy súhlas rodičov, ak spracúvajú osobné údaje detí, ktoré sú mladšie ako 16 rokov
Zodpovednosť prevádzkovateľov a sprostredkovateľov – kto spracúva údaje v mene iného prevádzkovateľa bude mať priame regulačné povinnosti a zodpovednosti
Žiadna registrácia systémov – dnes platí povinnosť zaregistrovať informačné systémy na Úrade pre ochranu osobných údajov. Podľa GDPR musia namiesto toho prevádzkovatelia udržiavať interné záznamy o činnostiach so spracovaním osobných údajov a na požiadanie úradu ich sprístupniť
Vyššie pokuty a sankcie pri porušení nariadenia GDPR
Vyššia konzistencia – Od národných úradov na ochranu údajov sa vyžaduje, aby v budúcnosti vydávali rozhodnutia uplatniteľné spoločne v celej EÚ. Niekoľko oblastí však ostane neharmonizovaných, napríklad spracovanie údajov v oblasti pracovného práva a národnej bezpečnosti
Širší územný dosah – novému nariadeniu budú podliehať aj spoločnosti mimo EÚ, ak ponúkajú služby alebo tovar na území EÚ alebo vyhodnocujú nákupné/iné správanie obyvateľov EÚ
Firmám pretoodporúčame, aby čo najskôr začali vykonávať zásadné kroky, smerujúce k zaručeniu súladu s GDPR ako napr.:
- interný audit práce s dátami,
- definícia pravidiel, ako s osobnými dátami pracovať,
- školenie zamestnancov, ako s dátami manipulovať,
- šifrovanie citlivých dát,
- obmedzenie ciest, ktorými je možné dáta prenášať,
- implementácia DLP riešenia, ktoré zabezpečí, že dáta neuniknú prostredníctvom chyby alebo nevedomosti zamestnanca,
- zálohovanie dátových úložísk, aby nedošlo k ich strate,
- ochrana proti externým útočníkom, použitím kvalitných antivírového riešenia a ďalších technológií v oblasti sieťovej bezpečnosti, ako sú IDS/IPS, firewally a ďalšie nástroje.
Pomôžeme vám s GDPR:
V prvom kroku zmapujeme Váš súčasný stav a všetky nevyhnutné zmeny. Následne Vám odporučíme riešenia na splnenie procesných a technických požiadaviek. Pomôžeme vám pri zavedení vnútorných procesov, nasadení potrebných technológií a pri mnohých ďalších činnostiach v súlade s legislatívou GDPR.
Znížime Vaše bezpečnostné riziká a zoptimalizujeme náklady. Analyzujeme rozdiely voči nariadeniu GDPR, navrhneme opatrenia i procesy, nasadíme technológie a zabezpečíme ich prevádzku.
Ak chcete vedieť viac o téme GDPR, neviete si s GDPR rady alebo by ste potrebovali len nezáväznú konzultáciu, kontaktujte nás na obchod@jkc.sk alebo telefonicky na číslo 032/744 4273.