11.06.2018, 00:00

Aj malé firmy musia zvládnuť veľkú agendu

Ako sa s GDPR vyrovnávajú malé a stredné podniky? Nové pravidlá si od nich vyžadujú oveľa vyššiu pripravenosť v narábaní s osobnými údajmi. Vysvetľuje to Martina Novysedláková zo spoločnosti CMS.

GDPR, cloud, internet, socialne siete
Zdroj: Dreamstime

Čo znamená zavedenie GDPR pre malé a stredné podniky? Čo to všetko obnáša a aké nové úkony museli urobiť podniky v tomto období?
Zavedenie GDPR znamená pre všetkých, na koho sa toto nariadenie vzťahuje, to isté – povinnosť byť v súlade s jeho ustanoveniami. Každý, kto spracúva osobné údaje v tomto zmysle, je povinný riadiť sa jeho reguláciou bez ohľadu na to, či ide o malého podnikateľa so zopár zamestnancami alebo o veľkú nadnárodnú spoločnosť. Všetky podniky by teda mali pamätať na to, aby každé spracúvanie robili na adekvátnom právnom základe a v súlade so zásadami spracúvania GDPR – po poskytnutí relevantných informácií dotknutým osobám, ktorých osobné údaje sú predmetom spracúvania.


Čo prinášajú nové regule iné oproti minulosti?
P
re malé a stredné podniky prináša aj niekoľko výhod. Napríklad podnik zamestnávajúci menej ako 250 zamestnancov nemusí viesť záznamy o svojich spracovateľských činnostiach. To však za podmienky, že ide len o príležitostné činnosti, ktoré sa netýkajú osobitných kategórií osobných údajov alebo nepredstavujú riziko pre práva a slobody dotknutých osôb. Navyše malé a stredné podniky môžu mať v súčasných podmienkach viac – menej istotu, že pokiaľ spracúvajú osobné údaje v súlade s GDPR v jednom členskom štáte EÚ, ich spracúvanie bude právne v poriadku aj v ostatných členských štátoch.


Predtým boli v tomto smere vo výhode veľké spoločnosti s medzinárodným zastúpením.
Presne tak. Mali finančné a ľudské zdroje na to, aby si vedeli ošetriť spracúvanie osobných údajov v každej krajine osobitne podľa lokálnej úpravy.


Aké sú základné opatrenia, aby firma nedostala pokutu?
To je skôr otázka na orgán dozoru, čiže Úrad na ochranu osobných údajov. Podstatná je však snaha spraviť všetko pre to, aby spracúvanie osobných údajov bolo v súlade s ustanoveniami GDPR. Je to nová právna úprava, mnohé otázky a výklady jeho ustanovení zostávajú stále otvorené. Verím, že úrad bude tieto skutočnosti brať do úvahy, najmä pokiaľ kontrolovaný subjekt bude schopný zmysluplne vysvetliť, prečo postupoval tak, ako postupoval.


Budú medzi sankciami len finančné postihy?
Pokuta je len jedna z možných sankcií za porušenie právnych predpisov ochrany osobných údajov. Pri jej ukladaní bude úrad brať do úvahy viacero faktorov, vrátane povahy porušenia či zavinenia opatrení, ktoré boli prijaté na zabezpečenie ochrany či miery spolupráce s úradom. Základným opatrením je preto pristupovať k ochrane osobných údajov zodpovedne, dbať na prijatie vhodných prostriedkov ochrany osobných údajov a byť schopný preukázať kontinuálnu snahu o zákonnú a bezpečnú úroveň spracúvania.


Potrebuje malá firma právnika, aby sa dokázala pripraviť na GDPR?
Pre každého, kto je zapojený do procesu spracúvania osobných údajov, je dôležité najmä to, aby pochopil právnu reguláciu GDPR, obsah povinností, ktoré sa naňho vzťahujú a na základe tohto pochopenia realizoval svoje spracovateľské činnosti. Zapojenie právnika do procesu zabezpečenia súladu spracúvania podľa GDPR síce nie je nevyhnutné, avšak z praxe môžeme potvrdiť, že individuálna príprava na GDPR väčšinou viedla k neúplným alebo chybným výstupom. Absentovalo totiž práve správne pochopenie právnej regulácie.


Ako by mala vyzerať ochrana údajov, ktoré sú zhromažďované v databázach (adresy klientov, zoznamy klientov, faktúry)?
Prevádzkovateľ aj sprostredkovateľ osobných údajov sú povinní prijať primerané organizačné a technické opatrenia na zaistenie bezpečnosti spracúvania týchto údajov. Pod organizačnými sa rozumie najmä správne vyškolený a poučený personál rešpektujúci mlčanlivosť vo vzťahu k údajom. Technické prostriedky bezpečnosti sú rôzne, od prístupových hesiel cez antivírusovú ochranu až po pseudonymizáciu. To, aké opatrenia sú vzhľadom na vykonávané spracúvanie primerané, treba vyhodnotiť so zreteľom na špecifiká spracúvania, na súvisiace riziká, najnovšie poznatky v oblasti bezpečnosti a náklady na vykonanie takýchto opatrení.


Čo v praxi znamená šifrovanie údajov?
Šifrovanie predstavuje jedno z technických opatrení, ktoré môže prevádzkovateľ a sprostredkovateľ prijať na zabezpečenie ochrany osobných údajov. Použitie

Exkluzívny obsah Hospodárskych novín

Tento článok je exkluzívnym obsahom Hospodárskych novín. Pokiaľ chcete získať neobmedzený prístup k digitálnemu obsahu hnonline.sk, predplaťte si jeden z troch digitálnych balíkov.

Newsletter

Prihláste sa na odber noviniek zo sveta politiky, ekonomiky a biznisu.

Pred zadaním e-mailovej adresy si prečítajte pravidlá ochrany osobných údajov a používania cookies. Súhlas na odoberanie noviniek môžete kedykoľvek odvolať.

Cookies

Na našich stránkach používame cookies. Slúžia na zlepšenie našej práce a vášho zážitku z čítania HNonline.sk. Bližšie informácie nájdete v Pravidlách používania cookies. Spracovanie a správu cookies nastavíte priamo vo Vašom prehliadači.