Slovenské firmy si budú musieť zvyknúť na tvrdšie podmienky. A to napríklad v tom, že ľudia zodpovední za ochranu osobných dát budú povinne skladať skúšky, za registrácie informačných systémov sa bude platiť, alebo že za akúkoľvek chybu zaplatí podnikateľ pokutu. A poriadne mastnú. Aby sa firmy stihli prispôsobiť,
majú na všetko pol roka. Za zmenou však stojí aj Európska únia, ktorá tlačí štáty do vyššej ochrany. Dôvodom je fakt, že náš zákon o ochrane dát bol istým spôsobom veľmi benevolentný.
Údaje z kamier
To si uvedomujú aj naše firmy, a preto konajú samy. Zvýšenú ochranu dát a údajov o svojich zamestnancoch či klientoch si zabezpečujú sami. Jednou z nich je aj strojárska firma Spinea Prešov. Tá sa na nový zákon na ochranu osobných údajov pripravovala už v predstihu. Hoci začal platiť iba pred pár dňami, strojári si vytvorili bezpečnostnú smernicu už pred niekoľkými mesiacmi. Poverení pracovníci absolvovali školenia, aj keď tie neprikazuje ani nový zákon. Ten iba nariaďuje skúšky, na ktoré sa dá pripraviť i samoštúdiom.
Spiney sa však zákon dotýka aj preto, lebo firma má na svojich chodbách kamerové systémy. Práve tento fakt mnohí podnikatelia podceňujú. Nevedia, že nový zákon už striktne definuje, ako a kedy možno práve kamerové dáta spracúvať a uchovávať. Ako vysvetľuje Michal Lisý, konateľ bezpečnostno-analytickej spoločnosti EuroTrading, sprísnenie má v tomto smere jasnú logiku. „Za určitých podmienok je z týchto údajov možné určiť fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu či sociálnu identitu osôb. A to je ľahko zneužiteľné.“
Nazeranie do pošty
Špecifikum prešovskej firmy je v tom, že kvôli bezpečnosti svojho obchodného tajomstva si upravila aj monitorovanie emailovej komunikácie. Tak vo vnútri podniku, ako i smerom von. „Dôvod je, aby – či už náhodou alebo zámerne – nejaká výkresová dokumentácia neopustila pracovisko,“ vysvetľuje personálny riaditeľ firmy Martin Bőttcher. Ako taký monitoring zamestnancov a ich komunikácie vyzerá? Maily zamestnancov sa síce neprezerajú, zákon to nedovoľuje, bol by to zásah do ich súkromia. Ale podľa odborníkov to ani z hľadiska legislatívy nie je jednoznačné. Jasné je, že pracovná pošta je pracovný prostriedok, na čo majú byť pracovníci upozornení. Rovnako aj na to, že ak by vzniklo podozrenie na využívanie pošty za iným účelom, nie je vylúčené do nej nazerať. Spinea si preto špeciálne vytvorila mechanizmus, ktorý sleduje posielanie pošty s prílohami. Ak zamestnanci pri komunikácii pridajú k mailu prílohu, ich šéf ju zmonitoruje a až potom sa môže mail odoslať. To všetko kvôli spomínaným výkresovým dokumentáciám, ktoré sa nesmú dostať von.
Firmy však ohrozuje iné riziko: vynášanie cez súkromnú poštu. Aj preto majú viaceré spoločnosti zablokované používanie súkromných mailov.
Kedy má mať firma smernicu a kedy projekt
Firmy môžu mať 3 úrovne dokumentácie:
A) základná dokumentácia,
B) bezpečnostná smernica,
C) bezpečnostný projekt.
Ktorú úroveň bezpečnosti firma potrebuje, závisí od toho, aká kombinácia 4 faktorov sa jej týka, teda, či narába:
1. s osobnými údajmi,
2. s osobitnou kategóriou osobných údajov,
3. s informačným systémom, ktorý nie je prepojený s internetom,
4. s informačným systémom, ktorý je prepojený s internetom.
Kedy vám stačí:
– základná dokumentácia: pri faktoroch 1 + 3
– bezpečnostná smernica: pri faktoroch 1 + 4 alebo 2 + 3
– bezpečnostný projekt: pri faktoroch 2 + 4
Zdroj: Miroslav Lisý, EuroTrading
--------------------------------------------------------------------------------------------------------------------------------------------------
Aké prípady riešil štát s osobnými údajmi
Obchody na údaje nedbali
Medzi hriešnikmi, ktorí asi najčastejšie porušovali právo na ochranu osobných údajov, sa ocitli obchodné reťazce. Kontroly vlani zistili, že so získanými osobnými údajmi o zákazníkoch často narábali ľahkovážne, až protiprávne. Pritom práve reťazce sú tie, ktoré zhromažďujú osobné dáta obrovského rozsahu. Získavajú totiž údaje z reklamácií, z priameho marketingu, ale najmä zo zákazníckych kariet a tiež z kamerového monitorovania verejných priestorov. Namiesto toho, aby obchodníci tieto údaje s odlišným účelom spracúvali osobitne, jednoducho ich nazhŕňali „do jedného balíka“, bez ohľadu na špecifické ciele. Ako keby osobné dáta ľudí boli tovar, ktorý sa vyberie z jedného regála a vloží do druhého. Ako paradajky.
Dlžníci na nástenke
Zverejnenie dlžníkov, ktorí majú dlhy na platbách za byt, vo verejných priestoroch domu, malo byť najúčinnejšou „zbraňou“ pri vymáhaní týchto dlhov. Avšak inšpektori sledujúci ochranu osobných údajov zistili, že na zoznamoch dlžníkov sa protiprávne zverejňovali ich osobné dáta. Bolo tam meno, priezvisko a výška nedoplatku. Týmto sa totiž odhalila tzv. ekonomická identita dotknutej osoby, čo zákon nedovoľuje, keďže k tomu došlo v spoločných priestoroch domu prístupných každému, kto vstupuje do objektu. Riešením pre ostatných vlastníkov bytov, ktorí majú právo vedieť, kto je v dome dlžník, je individuálne nahliadanie do dokladov správy domu. Teda určite nie na vývesnej tabuli vo vestibule.
Najväčší verejný trest
K najväčším verejným trestom patria internetové zoznamy neplatičov zdravotných poisťovní. Štátni inšpektori sledujúci ochranu dát však prešetrovali, či takéto zverejňovanie osobných údajov fyzických osôb neodporuje zákonu. Dostali na to aj podnety od dotknutých osôb. Konkrétne sa prešetrovalo, či je v poriadku, ak zdravotka na svojom webe vyvesila zoznam poistencov a platiteľov poistného, ktorí nezaplatili preddavky. Pri fyzickej osobe sa uvádzalo meno a priezvisko, trvalý alebo prechodný pobyt, rok narodenia a výška pohľadávky. Kontroly však neodhalili žiadnu nezrovnalosť pri spracúvaní osobných údajov. Identický prípad bol aj pri dlžníkoch s nedoplatkom na sociálnom poistení, kde kontroly taktiež nezistili nič nezákonné.
„Gorila“
Najkurióznejším prípadom vyšetrovania, či došlo k porušeniu ochrany osobných dát, bol prípad Gorila. Šlo o publikáciu, ktorá sa objavila na internete v roku 2011, pričom podnet prišiel od dotknutej osoby. Kontrola skutočne zistila, že publikácia obsahuje osobné údaje, vrátane rodných čísiel. Tie sa však zverejnili na rôznych internetových stránkach prevádzkovaných nielen na našom území, ale aj inde. Porušenie sa týkalo zákazu zverejňovania rodného čísla, ale aj iných súvislostí. Keďže prípad siaha na územia iných štátov, slovenský úrad požiadal o spoluprácu partnerské orgány v únii. Vyšetrovanie zatiaľ pokračuje.
--------------------------------------------------------------------------------------------------------------------------------------------
Anketa
Robíte už opatrenia v ochrane osobných údajov podľa nového zákona?
Zlatica Skákalová, finančná riaditeľka, MontServis:
Máme 27 zamestnancov, preto sme doteraz museli mať zo zákona jednu zodpovednú osobu. Podľa nového zákona to však bude iné, pretože podľa neho sa bude treba riadiť počtom osôb, ktoré prichádzajú do kontaktu s osobnými údajmi. Takých je u nás šesť: mzdárka, účtovníčka, IT pracovník a traja konatelia. Ešte uvidíme, koľko bude novej administratívy. Nové podmienky zatiaľ študujeme.
Miloš Kraus, generálny riaditeľ, Sauer-Danfoss:
Tieto veci sme mali podľa starého zákona, samozrejme, v poriadku, ale teraz si nie som istý, či už boli nejakí naši ľudia na školeniach, ktoré súvisia s novým zákonom. Jedno je isté, že utvoríme projektový tím, ktorý zanalyzuje všetky povinnosti, ktoré musíme urobiť v prechodnom období tohto zákona.
Jana Bolibruchová, hovorkyňa, SSE:
Vypracovali sme hĺbkovú analýzu nového zákona a vypracovali sme kroky, ktoré budeme realizovať v stanovených lehotách, a to do šiestich, deviatich a 12 mesiacov. SSE zriadili špeciálnu komisiu na ochranu osobných údajov. Bude vymenovaná osoba zodpovedná podľa nového zákona za ochranu osobných údajov, ktorá sa podrobí skúške. V súčasnosti už SSE má spracované bezpečnostné projekty, registrácie informačných systémov a ďalšie dokumenty, ktoré bude nutné upraviť podľa novej legislatívy.
Ján Orlovský, hovorca, ZSE:
Vzhľadom na lehoty prechodných období Zákona na ochranu osobných údajov je naša skupina len na začiatku podrobnej analýzy jeho vplyvu, preto nie je možné niekoľko dní po jeho účinnosti kvantifikovať mieru, rozsah a dôležitosť opatrení smerom do vnútra skupiny. V každom prípade však úsilie venované splneniu týchto povinností nebude priamo úmerné podstatnosti týchto zmien pre nášho koncového zákazníka.
Viktor Tasnadi, marketing, L&Š:
V súvislosti so zmenou v legislatíve pripravuje naša spoločnosť, ktorá má 150 zamestnancov, bezpečnostný audit a audit informačného systému, ako aj jeho zladenie s novou právnou normou. Určený je zodpovedný pracovník, ktorý má za úlohu implementáciu zmien. Do termínu stanovenom v zákone, 31. 12. 2013, budú všetky zmeny zavedené do praxe.
Martin Katriak, podpredseda predstavenstva, Coop Jednota Slovensko:
V priebehu augusta – septembra zvoláme všetkých našich ľudí, ktorých sa táto problematika dotýka, a budeme ich školiť v nových povinnostiach. V súčasnosti máme 19 zodpovedných osôb, ktorí zodpovedajú za ochranu údajov, okrem iného aj v súvislosti s 13 tisíckami zamestnancov všetkých Jednôt a s 930 tisícmi nákupných kariet našich zákazníkov . Ešte než sme zisťovali, čo prináša nový zákon, sme si mysleli, že to bude väčší strašiak, ale nie je. Všetko zvládneme načas.