Pre objasnenie spomeňme na úvod dôležitú skutočnosť: samotné Nariadenie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe údajov (skratka GDPR) automaticky nezabráni ich únikom (prípady ako Yahoo, Wishbone, RCM,  Acer). Avšak určite „postrčí“ firmy správnym smerom k vyššej ochrane dát. A tiež môže pomôcť predísť prípadom neadekvátneho zberu údajov až intímneho charakteru a ich zneužitiu (prípady ako Geofeedia). 

Čo sa mení pre väčšinu firiem?

Zmien je veľké množstvo. Avšak, netreba sa zľaknúť. Veľká časť sú úpravy už existujúcich opatrení. Iba malá časť zmien si vyžaduje väčšie investície. Aj to prevažne len v prípade firiem, ktoré spracúvajú veľké množstvo citlivých údajov a vo veľkom využívajú nové technológie (ktoré nariadenie definuje ako rizikové spracovateľské operácie) alebo zbierajú dáta až intímneho charakteru. O čo ide konkrétne?

Zmena v súhlase so spracúvaním osobných údajov

Súhlas sa od mája 2018 rozšíri o  náležitosti súvisiace napríklad s povinnosťou jasne odlíšiť žiadosť o vyjadrenie súhlasu od iných skutočností. Navyše, súhlas bude mať povinne zrozumiteľnú a ľahko dostupnú formu. „Súhlas dotknutej osoby so spracúvaním osobných údajov využíva takmer každá firma. Právny základ spracúvania osobných údajov (vrátane súhlasu) je zároveň prvý a najviditeľnejší prvok, na ktorom regulátor vidí, či ste splnili povinnosti vyplývajúce z nového nariadenia alebo nie. Preto by ste pri zmenách mali začať práve tu,“ odporúča Miroslav Kober, senior konzultant spoločnosti KPMG. Čo sa už nebude tolerovať, je dopredu zakliknutý súhlas a takisto zber už zverejnených údajov bez primeraného právneho základu (ku každému údaju v databáze budete potrebovať súhlas alebo obdobný základ spracúvania).

Sprostredkovanie s novou zmluvou

„Ak využívate na spracúvanie osobných údajov externých sprostredkovateľov, bude potrebné v porovnaní s dnešnou zmluvou o poverení spracovaním osobných údajov rozšíriť zmluvu o nové ustanovenia, ktoré najmä detailnejšie definujú, akým spôsobom môže sprostredkovateľ spracúvať osobné údaje,“ hovorí M. Kober.

Oprávnené záujmy zamestnávateľa vs. zamestnanci

Každá firma spracúva o svojich zamestnancoch osobné údaje. Ak ide o tzv. oprávnené záujmy zamestnávateľa (čiže sa neuplatňuje iný právny základ spracúvania, ako napríklad súhlas zamestnanca alebo plnenie zákonných povinností zamestnávateľa), je nevyhnutné, aby nad týmito záujmami zamestnávateľa neprevažovali záujmy alebo základné práva zamestnanca. Nová úprava vyžaduje od firiem test, ktorý určí, ktoré údaje je nutné zbierať a ktoré už zbytočne zasahujú do práv zamestnancov (takzvaný test proporcionality).

Väčšie firmy sa nevyhnú vedeniu detailných záznamov

Ak má firma viac ako 250 zamestnancov, nevyhne sa vedeniu záznamov o spracovateľských operáciách, čiže o vybraných informáciách týkajúcich sa narábania s údajmi. Dobrou správou je, že môže nadviazať na dnes už povinnú evidenciu informačných systémov, ktorú vyžaduje slovenský zákon. Druhým pozitívom je, že povinnosť vedenia záznamov sa za stanovených podmienok netýka malých a stredných firiem (napríklad, ak firma spracúva osobné údaje len príležitostne, nevykonáva rizikové spracovateľské operácie a nespracúva osobitnú kategóriu osobných údajov). „Naopak, online predajcovia, ktorí robia profilovanie klientov a zbierajú informácie o ich nákupnom správaní, budú musieť svoje bezpečnostné opatrenia sprísniť. Aby ste však nerobili zbytočné úpravy navyše, je dobré najprv skonzultovať situáciu s odborníkom,“ vysvetľuje Miroslav Kober z KPMG.

Zodpovedná osoba nepotrebuje skúšku

Firmy, ktoré spracúvajú vo veľkom rozsahu osobitné kategórie osobných údajov (napr. o zdravotnom stave) alebo pravidelne, systematicky a vo veľkom rozsahu monitorujú správanie svojich zákazníkov, budú potrebovať po novom zodpovednú osobu. „Budú ju potrebovať najmä nemocnice, telekomunikační operátori a retailové reťazce. Dobrou správou je, že odpadá povinnosť absolvovať skúšku na úrade, postačí dobrá znalosť legislatívy a postupov v oblasti ochrany údajov.“

Zjednodušení je hneď niekoľko...

Všeobecne možno povedať, že nová úprava povzbudzuje firmy k vyššej bezpečnosti na úkor formalizmu. Firmy potešia najmä dve úľavy, a to ľahšia práca s osobnými údajmi zamestnancov a klientov v rámci skupiny podnikov a odpustenie doteraz povinného bezpečnostného projektu. Nová úprava priznáva oprávnený záujem na presune údajov v rámci skupiny na vnútorné administratívne účely. Po novom už teda nebude potrebný súhlas zamestnancov či klientov, alebo iný obdobný právny základ, a taktiež nebude treba upozorniť úrad o informačnom systéme, v ktorom firma spracúva osobné údaje na základe oprávnených záujmov.
Druhou zmenou je, že firmy nebudú potrebovať bezpečnostný projekt. Rovnako nemusia firmy formálne riešiť oprávnené osoby, ktoré vo firme pracujú s osobnými údajmi.

Pokuta 20 miliónov eur alebo napomenutie. Rozhoduje úrad

Iste, maximálna sankcia 20 miliónov eur alebo 4 % z tržieb vyzerajú hrozivo. Avšak nariadenie hovorí, že sankcie síce majú byť účinné a odrádzať, ale zároveň musia zostať primerané. „Úrad na ochranu osobných údajov má k dispozícii aj alternatívne opatrenia ako úradné napomenutie, nariadenie nespracúvať či obmedziť niektoré operácie. Pri rozhodovaní o sankcii zase zohľadňuje napríklad závažnosť porušenia, následky pre dotknuté osoby, ale aj to, či išlo o zámer alebo nedbanlivosť a aké opatrenie firma následne prijala,“ objasňuje M. Kober z KPMG.

9 mesiacov na to, aby pôrod prebehol bez komplikácií
To je ešte dostatok času, aby firmy identifikovali potrebné zmeny a bez zbytočného stresu ich stihli adaptovať. Miroslav Kober z KPMG odporúča postupovať v troch krokoch:

  1. Analýza aktuálneho stavu
    Zistite, aké osobné údaje, na aké účely a ktoré časti vašej firmy spracúvajú a podľa akých formálnych pravidiel. „V tejto fáze možno zistíte, že nespĺňate ani niektoré súčasné požiadavky. Tým pádom vám adaptácia na nové nariadenie vlastne pomôže,“ hovorí M. Kober.  Výsledkom bude zoznam nutných zmien.
  2. Návrh a výber riešení
    „Zmeniť náležitosti súhlasu so spracúvaním údajov alebo rozsah informácií povinne poskytovaných dotknutej osobe je jednoduché. Zložitejšia už je zmena zabezpečenia či rozsahu zbieraných údajov. Je kľúčové dať si navrhnúť viacero variantov riešenia a vybrať si podľa priorít,“ odporúča M. Kober.
  3. Vývoj a implementácia opatrení
    Na zavedenie nového softvéru, jeho úpravy, implementáciu vnútorných predpisov a zrealizovanie potrebných školení si nechajte aspoň tri mesiace.

Nové pravidlá ochrany osobných údajov firmy vystrašili. V skutočnosti veľa zjednodušia

Novým pravidlám sa treba prispôsobiť najneskôr do 25. 5. 2018

Nové pravidlá ochrany osobných údajov firmy vystrašili. V skutočnosti veľa zjednodušia

ISA reprezentuje skupinu renomovaných spoločností pôsobiacich na území Slovenskej republiky poskytujúcich služby pre zahraničných investorov. Združenie pracuje ako „think-tank“ alebo „support base“ pre potreby SARIO a jeho marketingové a projektové činnosti doma i v zahraničí. Združenie priamo a prostredníctvom svojich partnerov poskytuje finančnú a organizačnú podporu pre prezentáciu investícií a ich benefitov pre rozvoj Slovenska a jeho regiónov.