Dáta občanov Európskej únie získali vďaka nariadeniu GDPR globálnu ochranu. Tá však priniesla podnikateľom množstvo povinností. Pozrite sa na deväť základných z nich.
Zásady nariadenia GDPR musia dodržiavať všetky spoločnosti či organizácie, ktoré spracúvajú osobné údaje občanov Európskej únie alebo nejako s nimi súvisia.
V súčasnosti sa za osobné údaje, ako sú meno, priezvisko alebo dátum narodenia, považujú aj také údaje, ktoré vedú k identifikovaniu osôb jednotlivcov. Medzi ne patria informácie o genetike, zdraví, ekonomickej i sociálnej situácii. Spozornieť by mali všetci pri oblasti IT, pretože okrem iného aj IP či emailová adresa sa považujú za osobné údaje, ktoré podliehajú ochrane.
Povinnosťou firiem je získať od zákazníkov súhlas so spracovaním osobných údajov. Je dôležité, aby bol formulovaný zrozumiteľne a zároveň musí informovať o tom, aké údaje bude spoločnosť spracovávať a ako ich bude využívať.
Orgány štátnej správy, ale aj spoločnosti, ktoré spracúvajú dáta vo veľkom rozsahu, musia vymenovať zodpovednú osobu za ochranu údajov, tzv. DPO (Data protection officer). GDPR neposudzuje veľkosť firmy, ale ako zaobchádza s týmito údajmi.
GDPR pokrýva aj akékoľvek ďalšie spoločnosti, ktorých správcovia údajov poskytujú ďalšie služby spracovania údajov. Ide o to, že i firmy, ktoré sú iba poskytovatelia služieb spracovania dát a pracujú s osobnými dátami, budú musieť byť tiež v súlade s pravidlami GDPR.
PIA, privacy impact assessment, je nástroj na identifikáciu a hodnotenie rizík ochrany osobných údajov. Správcovia údajov musia zhodnotiť tieto riziká narušenia, pričom GDPR sa snaží riziká zneužitia osobných údajov minimalizovať.
Firma, ktorá zaznamenala bezpečnostný incident, musí informovať Úrad na ochranu osobných údajov. Má na to 72 hodín od zistenia, avšak musí zabezpečiť procesy, ktoré pomôžu odhaliť únik dát, reagovať naň a, samozrejme, zaistiť jeho nápravu.
Ak zanikne oprávnený účel spracovania údajov, organizácia by ich mala vymazať. Podľa GDPR ide o minimalizáciu údajov. Ak chce spoločnosť využiť vaše údaje inak, ako je uvedené vo vašom súhlase, musí vás opäť požiadať o nový súhlas.
Na ochranu osobných údajov musíte myslieť už pri návrhu informačných systémov pre spracovanie osobných údajov. Všetky procesy a systémy musia byť v súlade s GDPR.
V každej európskej krajine môže príslušný úrad na ochranu osobných údajov sankcionovať spoločnosti. Aj keď majú sídlo mimo Európskej únie, ich pôsobenie je v únii, a preto môžu dostať od úradu finančnú pokutu. Jej výška sa pohybuje do 20 miliónov eur alebo 4 % z ročného celosvetového obratu.