22
máj
S novými pravidlami prichádza aj nová zodpovednosť. Inak tomu nie je ani v oblasti informačnej, respektíve kybernetickej bezpečnosti. Nová smernica General Data Protection Regulation alebo ak chcete GDPR prichádza do platnosti už 25. mája a okrem nových regulácií, ktoré so sebou prináša, sú častou diskusiou aj výšky sankcií. Tie vzbudzujú obrovský rešpekt. Avšak, cielene.
Aké sú možné sankcie?
Podniku, inštitúcii či každému podnikateľskému subjektu, ktorému vzniká povinnosť nové nariadenia zavádzať hrozí v prípade ich porušenia alebo nedodržania vysoká pokuta. Konkrétne až do výšky 20 miliónov eur alebo do výšky 4 % ročného obratu podniku za minulé účtovné obdobie.
Posudzovanie možných porušení GDPR
Samozrejme, dozorný orgán bude pri porušení smernice GDPR postupovať na základe určitých kritérií. Podľa čoho bude určovať závažnosť porušení a výšku sankcií?
- Porušenie z nedbalosti alebo úmyselne,
- druh porušenia a doba trvania,
- vykonané opatrenia po zistení incidentu,
- prechádzajúce zlyhania v oblasti informačnej bezpečnosti a ochrany osobných údajov,
- typ osobných údajov, ktorých sa porušenie týka,
- spôsob, akým sa dozorný orgán dozvedel o incidente, teda či subjekt únik či pochybenie nahlásil včas,
- dodržiavanie všetkých procesov stanovených v smernici GDPR,
- iná priťažujúca okolnosť, ktorá by súvisela s prepojením na páchanie inej trestnej činnosti.
Na základe povahy porušenia, kontrolný orgán určí závažnosť a rozsah možných dopadov na súkromie dotknutých osôb. Na základe vyhodnotenie týchto skutočností bude určená výška samotnej sankcie.
Na čo si dať pozor?
Samozrejme, a predovšetkým je nutné dať do pozornosti, aby boli dodržané všetky nariadenia, ktoré smernica GDPR stanovuje. V takom prípade sa pokuty za nedodržanie podmienok báť nemusíte. Pochopiteľne, kiežby to všetko šlo tak jednoducho. Upozorniť vás však musíme na veci, ktoré ste už možno počuli 100 krát, no nikdy toho nie je dosť.
- Dotknuté osoby musia so sú spracovaním údajov súhlasiť. Je nutné teda vytvoriť riadny a zrozumiteľný súhlas, ktorým spotrebiteľ potvrdí, že so spracovaním údajov súhlasí.
- Nezabudnite, že v prípade úniku osobných údajov je nutné, aby sa táto skutočnosť nahlásila najneskôr do 72 hodín od jej vzniku.
- Vytvorte pracovnú pozíciu osoby zodpovednej za zber, kontrolu i monitorovanie pri spracovaní osobných údajov. Ide o tzv. DPO – Data Protection Officer.
- Definujte presne, aké údaje, koľko údajov a akým spôsobom ich evidujete (kategorizujte).
- Chráňte údaje tým, že ich budete šifrovať.
Toto je len malé percento opatrené, na ktoré netreba zabúdať. Zároveň je kľúčom pre správne implementovanie vhodné načasovanie. Včera aj dnes už mohlo byť neskoro. Proces optimalizovania všetkých úkonov, spojených so spracovaním osobných údajov si vyžaduje čas.
Únik osobných údajov
Únik údajov ja samozrejme tým najzávažnejším porušením novej regulácie. Po novom je povinnosťou subjektu takýto únik nahlásiť do 72 hodín od vzniku incidentu. Najvyššia pokuta hrozí v prípade úniku vysoko rizikových údajov. Tými sú predovšetkým údaje, ako napríklad číslo občianskych preukazov, zdravotné záznamy, čísla kreditných kariet alebo prístupové heslá. Takýto únik údajov totiž môže spôsobiť zneužitie údajov na páchanie inej trestnej činnosti (vydieranie, obohatenia sa).
Ako predísť sankciám?
V zásade všetko, čo bolo napísané vyššie platí. Splnenie aj tých bodov, ktoré boli uvedené je základom a polovicou úspechu. Tým, že nebudete v rozpore so žiadnym pravidlom v rámci smernice, máte o problém menej. Hlavným problém na Slovensku je, že množstvo podnikov informačnú bezpečnosť nebralo tak vážne a preto je pre nich zavádzanie nových procesov skutočne náročné.
Najlepšie ste však mohli urobiť, ak ste proces zavádzania nových regulácií začali včas. Optimalizovanie a stabilizovanie všetkých procesov pri spracovaní osobných údajov by tak malo byť pre akýkoľvek podnik omnoho jednoduchšie.