29.03.2018, 09:15

Nové pravidlá ochrany osobných údajov začnú platiť 25. mája. Zmeny sa týkajú aj vás

Väčšina firiem nikdy nemala údaje dostatočne zabezpečené ani podľa doteraz účinných pravidiel. Už čoskoro začne platiť zásadná zmena v ochrane osobných údajov – európske nariadenie GDPR.

Nové pravidlá ochrany osobných údajov začnú platiť 25. mája. Zmeny sa týkajú aj vás

Nové pravidlá zásadne zvyšujú ochranu súkromia ľudí. Nový zákon a predovšetkým európske nariadenie GDPR sa budú vzťahovať skutočne na každého, kto bude pracovať s osobnými údajmi. Preto ani tá najmenšia firma, ktorá spracúva len osobné údaje svojho jediného zamestnanca, sa týmto normám nevyhne. S blížiacim sa termínom 25. mája sa postupne upresňujú detailné požiadavky, ktoré musia firmy spĺňať. Prinášame vám prehľad niektorých zmien.

Potrebný bude aktívny súhlas

Takzvaná Pracovná skupina 29, ktorá je poradným orgánom a vydáva stanoviská a usmernenia k ochrane osobných údajov, vydala v poslednom čase viacero stanovísk a usmernení napríklad k udeľovaniu súhlasu so spracovaním osobných údajov na internete. „Podľa usmernenia Pracovnej skupiny 29 súhlas na spracúvanie osobných údajov môže byť na internete udelený napríklad aj tým, že užívateľ potiahne prst po obrazovke prístroja, zamáva pred inteligentnou kamerou alebo otočí telefónom dookola v smere hodinových ručičiek či v tvare osmičky. Naopak iba obyčajné prescrollovanie cez obchodné podmienky, ktorým ste udelili súhlas, už nebude postačovať. Firmy, ktoré pracujú s osobnými údajmi na internete, preto musia pôvodný postup zmeniť,“ vysvetľuje advokát Pavol Szabo z advokátskej kancelárie GHS Legal.

Jednotlivci nie sú dostatočne informovaní

Zo skúseností vyplýva, že väčšina firiem neinformuje ľudí o tom, že spracúva ich osobné údaje, na aký účel ich spracúva, komu sú sprístupňované a poskytované, kam sú prenášané, na akú dobu ich uchovávajú a podobne. „Firmy sú povinné poskytnúť dotknutým osobám mnohé z týchto informácií už podľa aktuálne účinného zákona a GDPR kladie omnoho väčší dôraz na transparentnosť a individuálne práva ľudí,“ objasňuje situáciu Pavol Szabó. Ak firma v rámci kontroly nepreukáže úradu, že poskytla dotknutej osobe príslušné informácie o spracúvaní jej osobných údajov, hrozí firme sankcia

Bezpečnostné projekty presne „šité na mieru“

Po novom už bude musieť byť každé nastavenie bezpečnosti ochrany osobných údajov „šité na mieru“, a to jednak po technickej, ako aj po formálnej stránke. A to vrátane uzatvorenia riadne vymožiteľných zmlúv. Úrad na ochranu osobných údajov sa bude zaujímať, či firma pred každým spracúvaním osobných údajov posúdila, aké osobné údaje spracúva a či ich môže spracúvať v súlade s nariadením, kde sú uložené, kam ich poskytuje a podobne. A podľa toho bude posudzovať prijaté technické zabezpečenie, formálnu a zmluvnú dokumentáciu. Preto už nebudú postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov.

Hlásenie úniku osobných údajov

Ak dôjde k úniku osobných údajov a bude to pre ľudí znamenať riziko pre ich práva, musí firma, ktorá osobné údaje spracúva, oznámiť úradu únik najneskôr do 72 hodín. Advokát Pavol Szabó upozorňuje, že závažnejších prípadoch musí únik osobných údajov dokonca okamžite oznámiť aj dotknutej osobe. To podľa Pracovnej skupiny 29 znamená, že ak sa napríklad v prípade nemocníc stanú kritické lekárske dáta pacientov čo i len dočasne nedostupnými, môže ísť o riziko pre práva dotknutých osôb. Naopak, ak vypadne prúd vo vydavateľstve a toto nebude môcť zasielať novinky svojim odberateľom, je nepravdepodobné, aby tým by boli porušené práva dotknutých osôb. Tieto situácie musí zohľadniť každá firma či inštitúcia podľa druhu zbieraných údajov a patrične sa na ne pripraviť. 

Stav prípravy je alarmujúci

Len jedna z desiatich firiem sa pripravuje na GDPR. Aj keď firmy majú už dlhšie povinnosť dbať na ochranu osobných údajov a na sprísnenie opatrení v súvislosti s GDPR mali dostatok času. Zo skúseností advokátskej kancelárie GHS Legal vyplýva, že drvivá väčšina firiem nikdy nemala údaje dostatočne zabezpečené ani podľa doteraz účinných pravidiel. Preto budú mať ešte ťažší prechod na GDPR do mája v tomto roku. Stav nepripravenosti potvrdzuje aj prieskum britskej vlády, podľa ktorej len 38 percent firiem počulo o GDPR a len štvrtina z nich už reálne zmenila svoj systém spracúvania osobných údajov. Dokonca podľa prieskumu pravdepodobne iba 13 percent retailu a veľkoobchodov zaviedlo systém do súladu s GDPR. Podľa GHS Legal situácia na Slovensku nie je o nič lepšia.

Ak sa firma ešte nepustila do úprav svojho systému spracúvania osobných údajov, Pavol Szabó odporúča, aby si najprv presne zistila, s akými osobnými údajmi a v akom rozsahu dnes pracuje. Potom oslovila advokátov, ktorí sa špecializujú na GDPR, aby v prvom kroku zanalyzovali tok osobných údajov. Následne môžu advokáti vypracovať príslušnú dokumentáciu, ktorú GDPR vyžaduje, v spolupráci s IT odborníkmi, ktorí sa zase postarajú o technickú bezpečnosť.

Newsletter

Prihláste sa na odber noviniek zo sveta politiky, ekonomiky a biznisu.

Pred zadaním e-mailovej adresy si prečítajte pravidlá ochrany osobných údajov a používania cookies. Súhlas na odoberanie noviniek môžete kedykoľvek odvolať.