Viac ako štvrtina spoločností (28 %percent) sa s novou reguláciou ani neoboznámila. „Sú to alarmujúce čísla. No predpokladáme, že za tých pár týždňov sa situácia aspoň v niektorých firmách pohla k lepšiemu,“ hovorí prevádzkový riaditeľ TÜV SÜD Slovakia Martin Tichý. Táto spoločnosť je lídrom v certifikácii na Slovensku.
GDPR bude platiť pre všetky firmy na Slovensku?
Regulácia GDPR a nový slovenský zákon o ochrane osobných údajov sa týkajú všetkých kategórií podnikov, ktoré nejakým spôsobom spracúvajú osobné údaje. Pod spracúvaním osobných údajov sa rozumie spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi bez ohľadu na to, či sa vykonáva automatizovanými alebo neautomatizovanými prostriedkami.
Povinnosti prísnejšej ochrany osobných údajov sa teda dotknú každej firmy, ktorá má aspoň jedného zamestnanca, aspoň jedného dodávateľa či aspoň jedného zákazníka. Podľa odhadov Centra pre lepšiu reguláciu pôjde o približne 530-tisíc podnikateľských subjektov na Slovensku.
Čo všetko musia zmeniť podniky pri svojich procesoch a systémoch?
Musia zabezpečiť prísnejšie pravidlá ochrany osobných údajov pri ich spracúvaní. Pritom treba dodržiavať stanovené zásady zákonnosti, obmedzenia účelu, minimalizácie osobných údajov, správnosti, minimalizácie uchovávania, integrity a dôvernosti, zodpovednosti. Je nevyhnutné tiež zabezpečiť práva dotknutých osôb na prístup k osobným údajom, na opravu, na výmaz osobných údajov, na obmedzenie spracúvania osobných údajov, na prenosnosť údajov, namietať spracúvanie údajov. Pritom musia splniť nové či prísnejšie povinnosti, napríklad nahlasovanie únikov.
Na Slovensku sme už aj doteraz mali legislatívu upravujúcu osobné údaje. Preto pre niektoré spoločnosti splnenie nových požiadaviek nemusí predstavovať problém. Najmä pre tie, ktoré doterajšie zákony dodržiavali reálne, nielen formálne. Je ich však menšina. Takisto pre tie, ktoré riadia procesy (ISO 9001) a informačnú bezpečnosť (ISO 27001) podľa medzinárodných štandardov. Týmto firmám zaberie implementácia GDPR rádovo týždne.
Avšak pre firmy, ktoré to doteraz nerobili vôbec, tri až 12 mesiacov. Zásahy do procesov a systémov si pritom vyžiadajú náklady. Podľa predbežných prepočtov to vyjde takmer 48 miliónov eur na celé podnikateľské prostredie na Slovensku. Najväčšou výzvou pre firmy bude najmä splnenie povinnosti súvisiace s nahlasovaním únikov údajov a so zabezpečením práv dotknutých osôb.
Podľa nariadenia treba oznamovať porušenie ochrany osobných údajov Úradu na ochranu osobných údajov do 72 hodín od zistenia porušenia.
Kľúčové bude najmä nájsť vhodnú formu, respektíve postup na zisťovanie incidentov v reálnom čase. Incidenty, ktoré bude potrebné oznámiť, budú zahŕňať takmer každé porušenie bez ohľadu na to, či ide o veľkú spoločnosť alebo o malý či stredný podnik. Spoločnosti po máji 2018 nebudú môcť riešiť únik dát iba interne, ako to bolo doteraz.
Povinnosť sa nebude vzťahovať iba na zásadné porušenia, ako je napríklad strata či únik údajov alebo krádež identity, ale bude zahŕňať napríklad aj výmenu obálok určených pre dve rôzne osoby bankou alebo prístup neoprávnenej osoby k databáze obsahujúcej osobné údaje. Ibaže by bolo preukázané, že je nepravdepodobné, že incident spôsobí riziko pre práva a slobody jednotlivcov, ktorých sa týka. Ak pôjde o závažné porušenie, musia o ňom firmy informovať aj dotknutú osobu.
Kde má firma pri zmenách v súvislosti s GDPR vlastne začať?
Predplaťte si TREND za najvýhodnejšiu cenu už od 1 € / týždeň
- Plný prístup k prémiovým článkom a archívu
- Prémiový prístup na weby Mediálne, TRENDreality a ENJOY
- Menej reklamy na TREND.sk
Máte už predplatné?
