Kedy treba zmeny implementovať?
S príchodom GDPR v máji 2018 nás čaká veľa povinností. GDPR nahradí zákon o ochrane osobných údajov od 25. mája 2018. Hoci GDPR bude mať najväčší dopad pre veľké spoločnosti, ktoré pracujú s väčším množstvom osobných údajov, množstvo povinností prinesie aj pre menšie a stredné podniky.
Čo je to osobný údaj?
Okrem tých bežných ako meno, emailová adresa, fotografia, bude GDPR počítať aj nepriame údaje ako sú telefónne číslo, číslo účtu, hlas, odtlačok prsta alebo lokalizačné údaje.
Pre koho platí?
Je v zásade jedno, či ste prevádzkovateľom a spracúvate údaje pre seba alebo ste sprostredkovateľom a spracúvate údaje pre tretiu osobu ako call centrá, účtovné, marketingové firmy alebo poskytujete cloudové služby.
10 najdôležitejších zmien GDPR
- Povinnosť oznamovať porušenie ochrany osobných údajov regulátorovi ako aj jednotlivcom najneskôr do 72 hodín od úniku údajov, resp. odkedy sa dozvedeli o úniku. Údaje sa budú oznamovať Úradu na ochranu osobných údajov Slovenskej republiky. Odporúčanie: Každá firma by mala mať plán pre oznamovanie a riešenie úniku údajov.
- Nominácia zodpovednej osoby. Každá firma by mala mať nominovanú zodpovednú osobu, ak pracuje s citlivými údajmi ako biometria alebo zdravotný stav alebo ak pravidelne monitoruje jednotlivcom vo veľkom rozsahu. Táto nominovaná osoba bude nielen komunikovať s Úradom, ale bude musieť aj absolvovať skúšky. Odporúčanie: Táto osoba môže byť zvnútra firmy alebo ju môžu outsourcovať.
- Zvýšenie pokút na likvidačnú úroveň. Pokuty za nedodržanie pravidiel GDPR sa môžu vyšplhať až nad súčasnú výšky 200 000 eur. Najčastejšou príčinou býva nezabezpečenie dostatočnej bezpečnosti spracúvaných údajov.
- Striktnejšie podmienky na poskytovanie súhlasu so spracúvaním osobných údajov. Dôkazné bremeno je na strane prevádzkovateľa. Pre väčšinu eshopov to bude zakliknutím políčka (nie dopredu zaškrtnuté). Súhlas môže byť kedykoľvek možné odvolať, pričom platí, že odvolanie súhlasu musí byť rovnako jednoduché ako jeho získanie. Odporúčanie: Keďže tieto súhlasy z GDPR sú komplexnejšie ako pôvodné, bude nutné si od všetkých starých kontaktov vyžiadať nový súhlas.
- Nové „právo byť zabudnutý“ je širšie ako právo na výmaz. Výmaz sa musí uskutočniť najneskôr do 1 mesiaca od obdržania žiadosti. Ak je viacero prevádzkovateľov a len jeden obdrží žiadosť o výmaz, musí požiadať aj ostatných. Odporúčanie: eshopy by mali mať interný postup, ako budú narábať s takýmito žiadosťami.
- Nová povinnosť „privacy by design and by default“, znamená, že sa musí dodržiavať striktná ochrana údajov a súkromia a prevencia. Pod prevenciou sa myslí kódovanie údajov (pseudonumizácia - ak je to potrebné) a minimalizácia zbieraných údajov. Odporúčanie: prevádzkovateľ by mal mať stanovenú formu spracúvania a posúdiť vplyv na ochranu osobných údajov (či sa nezbierajú nepotrebné dáta).
- Nové právo na prenosnosť údajov, kedy dotknutá osoba má právo získať svoje osobné údaje v čitateľnej podobe. Ak je viacero prevádzkovateľov, ten pôvodný je zodpovedný za bezpečný prenos (transfer) údajov, napr. šifrovaním.
- Prísnejšie pravidlá aj pre sprostredkovateľov. Väčšia záťaž je na pleciach prevádzkovateľov, nakoľko dáta sú určené primárne pre nich. Pribudli aj povinnosti pre prevádzkovateľa ako viesť zoznam spracovateľských operácií. Ak prevádzkovateľ zistí pochybenie pri ochrane osobných údajov, musí upovedomiť prevádzkovateľa. Sprostredkovateľ by mal pravidelne testovať technické opatrenia a po ukončení poskytovania služieb musí vymazať všetky dáta.
- Nové pravidlo „one-stop-shop“, ktorá platí pre nadnárodné spoločnosti, pričom jeden dozorný orgán preberie zodpovednosť nad všetkými spracovateľskými operáciami vo všetkých štátoch, kde nadnárodná spoločnosť pôsobí (myslí sa tým EÚ :) ).
- Zmeny pri prenosoch osobných údajov do zahraničia, resp. do nečlenských krajín. Podmienky prenosu závisia od ochrany osobných údajov v tretích krajinách, keďže v týchto už EÚ nemá jurisdikciu.
Náš názor:
Účelom GDPR je zabrániť agresívnemu zneužívaniu osobných údajov bez súhlasu a citlivé narábanie s údajmi. Okrem zvýšenej byrokracie si myslíme, že smernica má dobrý úmysel.
Každá firma bude musieť preukázať platný súhlas k použitiu osobných údajov a informácií. Dosah smernice bude mať na všetky firmy, takže máme zato, že reálna kontrola implementácia do firiem bude časovo náročná a môže dlhšie trvať. Práve za kontrolu správnosti implementácie smerníc je zatiaľ zodpovedný Úrad verejného zdravotníctva Slovenskej republiky.
Máme za to, že v prvej línii sa bude pokračovať s kontrolou eshopov predávajúcich výživové doplnky a potraviny. Aspoň toto nám vyplynulo z konferencie pre výživové doplnky, kde osobne prednášala okrem nás aj pani Ing. Eva Jóžeffiová z odboru hygieny a výživy, bezpečnosti potravín a kozmetických výrobkov na konferencii pre výživové doplnky. Celkovo na Slovensku nie je určená autorita zodpovedná za kontrolu implementácie, okrem ÚVO.