16
máj
Čochvíľa nové regulácie týkajúce sa ochrany osobných údajov schválené Európskou komisiou vstúpia do platnosti. Konkrétne dňa 25. mája začne platiť nové nariadenie GDPR – General Data Protection Regulation. Pre mnohé firmy to znamená veľké množstvo zmien v oblasti spracúvania osobných údajov. Aby ste presne vedeli, čo od nového nariadenia očakávať, prinášame vám desatoro GDPR, ktoré vám pripomenie, na čo si dávať pri zavádzaní nových opatrení pozor.
1. GDPR s platnosťou pre všetky firmy
„Všetky“ firmy zahŕňajú každý podnikateľský subjekt, organizáciu či inštitúciu, ktorá pracuje s osobnými dátami užívateľov. Každý občan EÚ má tak garantovanú ochranu osobných dáta. Aj mimo EÚ. Všetky zásady, ktoré platia pre firmy v rámci EÚ a GDPR tak platia aj v prípade firiem, ktoré pracujú s údajmi občanov Európy mimo tohto územia.
Okrem toho GDPR bude platiť aj pre sprostredkovateľov ako napríklad právnici, účtovníci či advokáti.
2. Osobné dáta
Osobné dáta, respektíve údaje dostali v rámci GDPR jasnú definíciu. Za osobný údaj sa považuje akákoľvek informácia slúžiaca k identifikácii dotknutej osoby. Rovnako tak GDPR rozšírilo portfólio osobných údajov.
Po novom ide aj o údaje o psychickom, sociálnom či ekonomickom stave. Takisto sa za osobný údaj považuje genetická informácia alebo IP adresa, či súbory cookies.
3. Pravidlá pre platný súhlas
Žiadne profilovanie či autoamtizované spracúvanie osobných údajov. Po novom bude musieť podnik zabezpečiť, aby bol súhlas so spracovaním osobných údajov jasný a zrozumiteľný. V prípade, že klient spracovanie osobných údajov neodsúhlasí alebo potvrdenie bude ignorovať, podnik nemá právo akokoľvek údaje spracovať.
GDPR takisto od podnikov žiada, aby daný súhlas vedel preukázať a potvrdiť tak korektnosť pri spracovaní. Pre firmy tak bude dôležité, aby vedeli, aké osobné údaje presne zbierajú a k čomu ich využívajú. Neopodstatnené údaje bude povinné odstrániť na trvalo.
4. Vymenovanie DPO
DPO alebo Data Protection Officer bude osobou, ktorú má podnik povinnosť vymenovať pre zodpovednosť za ochranu a spracovanie osobných údajov. Údaje totiž vyžadujú pravidelné aktualizovanie a monitorovanie. DPO budú musieť obstarať ako veľké tak i malé firmy bez ohľadu na to, koľko zamestnancov podnik má.
5. Ohlásenie o úniku osobných údajov
Nové nariadenie prináša novinku v podobe nahlasovania úniku osobných údajov. Takáto skutočnosť bude musieť byť nahlásené Úradu pre ochranu osobných údajov do 72 hodín od jej zistenia. Podnik pritom musí zaistiť procesy, ktoré umožnia únik odhaliť a zaviesť potrebné opatrenia.
6. Zavedenie PIA
Privacy Impact Assessement je v zásade posúdenie možných dopadov na súkromie dotknutých osôb. Tento proces majú vykonať osoby zodpovedné za spracovanie osobných dát (DPO). Riziko narušenia súkromia musia, čo najviac minimalizovať. Proces posúdenia rizík narušenia súkromia by mali podniky vykonať ešte predtým, ako prácu s údajmi začnú.
7. Právo byť vymazaný
Ako už bolo spomenuté, podnik nesmie disponovať údajmi, ktoré pri svojej činnosti nevyužíva. Spoločnosti takisto nesmú meniť spôsob využitia osobných údajov. Účel musí zostať rovnaký. Samotný užívateľ môže požiadať o výmaz osobných údajov. Firma posúdi žiadosť a následne musí zabezpečiť potrebné procesy pre maximálne odstránenie osobných údajov z databázy.
8. Ochrana súkromia priamo v systéme
GDPR týmto opatrením vyžaduje, aby ochrana údajov bola zabezpečená už v rámci systému. IT technológie, ktoré subjekt využíva pre spracovanie osobných údajov, musí spĺňať určité parametre pre ochranu súkromia.
9. Jednotný prístup
Doteraz si každý štát sám reguloval, ako prísne toleroval prípadné zlyhania ochrany osobných údajov. Predovšetkým u mimoeurópskych korporácií (Google, Mircosoft, Apple…). Jednotný prístup však znamená, že v každej krajine EÚ má príslušný orgán právo prijať nápravné opatrenia voči firmám aj v prípade, že majú sídlo mimo EÚ.
10. Pozor na sankcie
V prípade zistenia porušení pri ochrane osobných údajov hrozí značný postih. Opatrenia GDPR sú podporené pokutou až do výšky 20 miliónov eur alebo 4 % z výšky ročného obratu firmy. Tieto vysoké sankcie majú byť prirodzeným strážcom dodržiavania pravidiel GDPR.
GDPR je čoskoro tu! Veríme, že Vám aj tieto rady pomôžu, aby ste minimalizovali riziko sankcií.