GDPR
30. januára nadobudol platnosť nový zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nadobudne účinnosť 25. Mája 2018. Slovenská republika týmto zákonom reagovala na nariadenie EP a rady EU o ochrane údajov, ktorá je známa aj pod skratkou GDPR (General Data Protection Regulation). My vo VGD SLOVAKIA sa dôsledne pripravujeme na zabezpečenie plného súladu našej spoločnosti s týmto zákonom a smernicou.
O jednotlivých krokoch našej spoločnosti v tomto kontexte sú naši klienti informovaný individuálne, napríklad vo forme návrhu zmluvy o spracovaní osobných údajov alebo informáciou o zavádzaní nových nástrojov pre bezpečnú výmenu údajov a vzájomnú komunikáciu. Dopad tohto nariadenia na činnosť jednotlivých firiem a spoločností je veľmi individuálny, pretože aj rozsah zbieraných osobných údajov a účely ich použitia sú pre jednotlivé firmy individuálne. Rozhodli sme sa Vám preto týmto newsletterom priniesť základnú informáciu o zmenách v tejto oblasti, konkrétne dopady na činnosť Vašich spoločností však musia byť predmetom hlbšej analýzy vo Vašich konkrétnych podmienkach.
1. ZJEDNOTENIE PRAVIDIEL OCHRANY OSOBNÝCH ÚDAJOV V EU
Štáty Európskej únie sa rozhodli spoločne riešiť ochranu údajov a súkromia všetkých svojich občanov. Za týmto účelom bolo 27. apríla 2016 schválené Všeobecné nariadenie o ochrane údajov (General Data Protection Regulation - GDPR), ktoré nadobudne účinnosť 25. mája 2018. Forma nariadenia (regulation) znamená, že je priamo záväzné a aplikovateľné vo všetkých štátoch Európskej únie bez potreby jeho zapracovania do lokálnych legislatív jednotlivých štátov.
Okrem iných bola dôvodom pre vydanie nariadenia potreba čeliť novým výzvam ochrany súkromia, napríklad:
- pri online marketingu a obchodovaní s osobnými údajmi;
- pri zdieľaní informácií na sociálnych sieťach;
- vývoz osobných údajov do štátov mimo Európskej únie;
- nové práva ochrany súkromia občanov v digitálnom priestore.
2. VYBRANÉ ZMENY, KTORÉ PRINÁŠA GDPR
Pripomíname, že vydaním nariadenia dochádza k zjednoteniu pravidiel v rámci celej EU a v súvislosti s tým dochádza k zmenám podmienok a pravidiel aj v Slovenskej Republike.
Oblasť ochrany osobných údajov je však v SR pomerne rozsiahlo riešená aj v súčasnosti.
Vyberáme preto tie oblasti, kde dochádza k významnejším zmenám v porovnaní zo súčasným stavom.
Vybrané nové povinnosti a zmeny v súčasných:
- rozšírenie pojmu osobný údaj (napr. aj e-mail, IP adresa, cookies na web stránkach);
- povinnosť nahlásiť narušenie či únik osobných údajov do 72 hodín;
- právo fyzických osôb byť zabudnutý (na žiadosť vymazať všetky evidované osobné údaje);
- sprísnenie podmienok na udelenie súhlasu so spracovaním osobných údajov;
- rozšírenie povinností sprostredkovateľov;
- zmeny pri spracovaní fotografií a pri prevádzkovaní kamerových systémov;
Zrušenie niektorých aktuálnych povinností:
- ruší sa oznamovanie a registrácia informačných systémov úradom pre ochranu osobných údajov, nahrádza sa povinnosťou vedenia záznamov;
- ruší sa povinnosť vypracovania bezpečnostného projektu, ktorá sa nahrádza povinnosťou posúdiť vplyv na ochranu osobných údajov (bezpečnostná analýza);
3. SANKCIE
Zvyšujú sa sankcie, ktoré môže uložiť úrad pre ochranu osobných údajov až do výšky 20 Mil. EUR alebo 4% celosvetového obratu (vrátane spriaznených spoločností) podľa toho ktorá z vypočítaných sankcií by bola vyššia;
4. ZODPOVEDNÁ OSOBA – DPO (DATA PROTECTION OFFICER)
Aj súkromné spoločnosti môžu zriadiť pozíciu zodpovednej osoby, ak ich hlavné činnosti sa týkajú spracovania osobných údajov. V takomto prípade sa vyžaduje pravidelné a systematické monitorovanie dotknutých osôb.
Osoba s odbornými znalosťami o práve a postupoch na ochranu údajov by mala pomôcť kontrolórovi alebo spracovateľovi monitorovať vnútorný súlad s GDPR nariadením.
5. DIGITÁLNE PRÁVA OBČANOV EU V DIGITÁLNEJ EKONOMIKE
- Právo dostať jasné a zrozumiteľné informácie o tom, kto spracováva údaje občana, aké údaje sú spracovávané a na aký účel;
- Právo poskytnúť na požiadanie prístup k osobným údajom, ktoré má o občanovi daná organizácia;
- Právo „byť zabudnutý“. Občan môže požiadať o vymazanie svojich osobných údajov, ak si už viac neželá ich spracúvanie;
- Právo požiadať jedného poskytovateľa služieb, aby previedol osobné údaje občana inému poskytovateľovi služieb;
- Ak dôjde k strate alebo krádeži osobných údajov občania majú právo byť o tom informovaný.
6. ODPORÚČANÉ KROKY PRE ZABEZPEČENIE SÚLADU S GDPR
Na základe vyššie uvedeného by sme Vás chceli upriamiť na niekoľko krokov, ktoré by mala Vaša spoločnosť urobiť v súvislosti s ochranou osobných údajov a zabezpečením súladu s nadriadením GDPR:
- zmapovať osobné údaje, ktoré Vaša spoločnosť zbiera a spracováva;
- vykonať bezpečnostnú analýzu (aké systémy sa používajú, aké sú riziká spracovania a pod.);
- uzatvoriť zmluvu o spracovaní osobných údajov (podobne ako s našou spoločnosťou), aj s ostatnými sprostredkovateľmi, ktorým odovzdávate osobné údaje;
- v prípade ak zbierate aj iné osobné údaje, ako tie ktoré sú spracovávané zo zákona, uistiť sa že sú zbierané iba na presne určený účel a iba na dobu potrebnú pre zabezpečenie tohto účelu a že súhlas so spracovaným týchto údajov bol udelený všetkými dotknutými osobami v súlade s novým zákonom;
7. BEZPEČNOSŤ E-MAILOVEJ KOMUNIKÁCIE
Jednou z oblastí zabezpečenia súladu s GDPR, ktorá sa určite dotkne takmer všetkých firiem a spoločnosti, a preto na ňu špeciálne upozorňujeme, je posielanie osobných údajov prostredníctvom bežnej e-mailovej komunikácie. GDPR vyžaduje aby boli osobné údaje počas prenosu chránené. V prípade elektronického prenosu to znamená šifrovanie prenášaných údajov.
Používanie bežného e-mailu je po viacerých stránkach v rozpore s týmito požiadavkami:
- údaje nie sú počas prenosu šifrované
- pri prenose internetom môžu byť „odchytené“
- v prípade preklepu v e-mailovej adrese môže jednoducho dôjsť k úniku osobných údajov
- pri e-mailoch je ťažké kontrolovať, aby sa osobné údaje vymieňali iba medzi oprávnenými osobami na obidvoch stranách,
- bežne vzniká viacero kópií e-mailov na viacerých zariadeniach (server, klient na PC, mobil) a tým viac príležitostí pre únik osobných údajov
Existujú riešenia ako šifrovať a zabezpečiť prenos údajov e-mailom, ale každé z týchto riešení adresuje iba niektoré z vyššie uvedených rizík a zároveň sú náročné na technickú realizáciu, časovú náročnosť alebo koordináciu krokov na obidvoch stranách.
My vo VGD SLOVAKIA sme sa preto rozhodli pre iný prístup ako dosiahnuť súlad s požiadavkami GDPR pri prenose osobných údajov. Vytvorili sme webový portál pre klientov VGD Slovakia (postavený na platforme Tulip). Portál obsahuje aj zdieľané úložisko údajov, ktoré bude slúžiť pre odovzdávanie súborov s osobnými údajmi. O detailoch tohto riešenia sú klienti VGD SLOVAKIA informovaný individuálne.