Ochrana osobných údajov je živý organizmus, s ktorým je potrebné pracovať, pretože každý pribúdajúci proces vo firme znamená aktualizáciu dokumentácie k GDPR. Tá by preto nemala byť po jej vytvorení založená do zásuvky. Viac o téme porozprávala odborníčka na ochranu osobných údajov JUDr. Katarína Kročková zo spoločnosti Kročka & Partners.
GDPR je vnímané ako zákonná požiadavka, ktorú si treba splniť a hotovo. Čo všetko zahŕňa?
Ochrana osobných údajov je omnoho širšou oblasťou, než si väčšina z nás predstavuje. GDPR chráni citlivé údaje ako firemné know-how, informácie o spoločnosti, zamestnancoch, klientoch či zákazníkoch. To je prvá skutočnosť, z ktorej treba vychádzať. Tou ďalšou je fakt, že GDPR nie je jednorazovou záležitosťou. Procesy spracúvania osobných údajov sa v spoločnosti menia tak, ako sa konkrétna spoločnosť vyvíja. Už len zmenou webovej stránky alebo využívaním sociálnych sietí sa menia aj účely, pre ktoré osobné údaje spracúvame. Stačí, aby sme vymenili externú účtovnú spoločnosť alebo do prevádzky pridali kamerové systémy. To všetko nám zasahuje do oblasti osobných údajov, ktoré treba chrániť.
Aké sú najčastejšie požiadavky spoločností v oblasti ochrany osobných údajov?
Prax je väčšinou taká, že nový klient k nám príde s jednoduchou požiadavkou potreby GDPR. Vie, že mu to ukladá zákon. Po konzultáciách a odovzdaní dokumentácie sa však jeho pohľad na vec mení, pretože začne vidieť do problematiky hlbšie. So spoločnosťami, s ktorými máme nastavenú dlhodobú spoluprácu, riešime všetky aktuálne otázky, ktoré sa ochrany osobných údajov týkajú. Požiadavky sú rôzne, všetko závisí od klienta a oblasti, v ktorej pôsobí. Okrem nastavenia základu GDPR a vypracovania dokumentácie sa spoločnosti na nás obracajú s otázkami nastavenia pravidiel používania firemných zariadení na súkromné účely, preškolenie zamestnanca v oblasti ochrany osobných údajov, ďalej sú to konzultácie o posúdenie bezpečnostného incidentu a štandardom býva aj kontrola webovej stránky.
Načrtli ste kamerové systémy. Ako nastaviť GDPR v otázke ich používania?
Predošlý zákon hovoril o tom, že akceptovateľná doba uchovávania kamerových záznamov bola až 15 dní a stačila jednoduchá nálepka na dverách o monitorovaní priestoru. Od januára 2020 bol však vydaný metodický pokyn z EDBP (Európsky výbor pre ochranu osobných údajov), ktorý upravuje práve otázky spracúvania osobných údajov v súvislosti s kamerovým systémom. Jednou z najväčších zmien je doba uchovávania záznamu, a to na odporúčaných 72 hodín. Čím je stanovená lehota uchovávania záznamu dlhšia, tým viac zdôvodnení oprávnenosti účelu a nutnosti uchovávania treba poskytnúť. Okrem viditeľného znaku Priestor je monitorovaný kamerovým systémom na dverách je odporúčané uviesť aj ďalšie informácie: kto je prevádzkovateľ kamerového systému, kontaktné údaje, na koho sa môže dotknutá osoba obrátiť, ako dlho sa záznam uchováva, za akým účelom prevádzkovateľ priestor monitoruje, práva dotknutej osoby a podobne.
V oblasti ochrany osobných údajov je aktuálnou aj téma Cookies. Aký je ich význam?
Cookies sú malé textové súbory, ktoré môžu byť odosielané pri návšteve webových stránok a ukladané do zariadenia s prístupom na internet, napríklad počítač, smartphone, tablet a podobne. Využívajú sa pre správne fungovanie a poskytovanie služieb, ktoré obsahuje webová stránka, pre pochopenie a zlepšenie zážitku používateľa z prehliadania obsahu, ako aj z dôvodu zasielania a cielenia reklamy. Existujú rôzne kategórie a druhy Cookies. Z toho vychádza aj účel ich využitia, napríklad nutné (pre správne fungovanie webu), analytické (štatistika), reklamné (cielená reklama, profilovanie) a iné.
V čom spočívala nedávna zmena v oblasti Cookies?
Cookies bolo potrebné nastaviť tak, aby si pri návšteve webovej stránky návštevník vybral, aké Cookies chce povoliť. Na každý druh Cookies je teda potrebný súhlas. Súhlas nie je potrebné vyžadovať iba v prípade, ak ide o nutné Cookies, ktoré sú potrebné na správnu funkciu webu. To znamená, že ak webová stránka využíva analytické a marketingové Cookies, je potrebné umožniť návštevníkovi vyjadriť svoj súhlas pre každý účel samostatne.
Počas pandémie narástli počty pishingových e-mailov. Ako ich rozpoznať?
Človek je typ „klikací“. Akonáhle na nás vybehne na internete okienko, ktoré je potrebné potvrdiť, tak ho väčšinou bez rozmyslu odklikneme. Dajme si vždy čas a pozorne preskúmajme, na čo vlastne klikáme a čo odsuhlasujeme. A to isté platí aj o pishingových e-mailoch. Háčik je v tom, že na prvý pohľad vyzerajú tieto e-maily ako „pravé“. Obsahujú však škodlivý kód, ktorý môže narobiť veľa problémov, napríklad získanie cenných používateľských údajov, krádež peňazí alebo identity a následne vydieranie a v neposlednom rade aj inštaláciu malvéru. Veľa nám napovie e-mailová adresa odosielateľa. Ak má za znamienkom „@“ nezvyčajný a neznámy názov domény, s veľkou pravdepodobnosťou ide o pishingový e-mail, ktorý odporúčam ihneď vymazať. Odosielatelia týchto e-mailov sa najčastejšie vydávajú za bankové, poštové či prepravné inštitúcie, niekedy môžu dokonca vyzerať ako e-mail od priameho nadriadeného.
JUDr. Katarína Kročková:
Vyštudovala právo na Právnickej fakulte Univerzity Komenského v Bratislave. Počas štúdia pracovala ako personalistka, neskôr zastávala post korporátneho právnika. Problematike ochrany osobných údajov sa venuje desať rokov a poskytuje konzultácie a komplexné riešenia pri implementácii GDPR. Okrem tejto témy sa venuje pracovnému právu, otázkam obchodného registra a mediácii. V roku 2016 založila spoločnosť KROČKA & PARTNERS, v ktorej spolupracuje s expertami na pracovné právo, ochranu osobných údajov v online prostredí a kybernetickú bezpečnosť. Je spoluautorkou odborných publikácií Judikatúra v pracovnoprávnych veciach (2018), ktorá slúži personalistom, advokátom, zamestnávateľom a zamestnancom ako pomôcka v otázkach ukončenia pracovného pomeru a Judikatúra v oblasti konania obchodných spoločností (2020). Je členkou Spolku na ochranu osobných údajov a členom DPO Clubu, nezávislej odbornej komunity pôsobiacej v oblasti GDPR.
Viac informácií nájdete na www.krockapartners.sk.