Nebojte sa GDPR
- by Optivus
Neustály nárast využívania informačných technológií takmer vo všetkých oblastiach ľudského života nám na jednej strane život uľahčuje, spríjemňuje, ale zároveň v sebe skrýva a do života prináša riziká, vo vzťahu k súkromiu, osobným údajom a kontrole nad zverejnenými, poskytnutými osobnými údajmi.
25.mája vstúpi do platnosti nariadenie európskeho parlamentu a rady Európskej únie 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, medzi odbornou i laickou verejnosťou dobre známe ako „GDPR“, rovnako ako jeho slovenská paralela Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Toto nariadenie vo svojom úvode v takzvaných „Odôvodneniach“ (mimochodom je ich 173), vysvetľuje, vymedzuje, odporúča klasifikuje… čo by sa malo, čo sa môže, aké by spracúvanie osobných údajov malo byť atď… Osobne si však myslím, že najdôležitejšie je odôvodnenie č. 78, ktoré hovorí, citujem: „Ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov si vyžaduje, aby sa prijali primerané technické a organizačné opatrenia s cieľom zabezpečiť splnenie požiadaviek tohto nariadenia.
Na Slovensku je síce už od roku 2002 povinnosť za určitých okolností mať vypracované „bezpečnostné projekty“, ale táto povinnosť, najmä v sektore malých a stredných podnikov, zostala do značnej miery ignorovaná a napriek tomu, že bezpečnostné projekty sú tu už 15 rokov dovolím si tvrdiť, že väčšina malých a stredných slovenských firiem na to podceňuje, alebo má len formálny papier, ktorý vo väčšine prípadov nič nerieši. Termín „pochovania“ bezpečnostných projektov, ktoré boli doposiaľ akousi „náplasťou“ na riešenie politík spoločností vo vzťahu k ochrane osobných údajov, je teda stanovený na 25. mája 2018. No z pohľadu malých a stredných firiem to nie je dôvod na radosť, akoby sa na prvý pohľad mohlo zdať. Na Slovensko totiž prichádza v zmysle GDPR „Posúdenie vplyvu na ochranu údajov“ (DPIA – Data Protection Impact Assessment, resp. PIA – Privacy Impact Assessment – ďalej len ako „DPIA“). Posúdenie vplyvu na ochranu údajov je pre prevádzkovateľov užitočným spôsobom, ako zaviesť̌ systémy na spracúvanie údajov, ktoré spĺňajú všeobecné nariadenie o ochrane údajov a v prípade niektorých druhov spracovateľských operácií môžu byť povinné.
AKCENT NOVA Vám prináša návrhy organizačných a technických opatrení. Medzi technické opatrenia patria napríklad nasadenie vhodných IT technológií a nástrojov od renomovaných výrobcov. Ako návrhy organizačných opatrení Vám poskytneme vypracovanie implementačného formulára, ktorý slúži ako analýza a následný návrh a zoznam aplikovaných technických a organizačných opatrení, aby ste dosiahli a udržiavali súlad s GDPR. V prípade potreby Vám dodáme vykonanie posúdenia vplyvu na ochranu údajov, známy aj ako spomínané DPIA ako aj konzultačnú činnosť zodpovednej osoby „DPO“. Chcem len podotknúť, že spomínané opatrenia sa musia aplikovať ako na elektronické, tak aj na fyzické nosiče a zdroje osobných údajov. Vykonávanie posúdenia vplyvu na ochranu údajov je totiž neustály proces, a nie jednorázová záležitosť. V duchu dobrej praxe by sa posúdenie vplyvu na ochranu údajov malo neustále preskúmavať a pravidelne prehodnocovať. Preto, aj keď sa posúdenie vplyvu na ochranu údajov nebude vyžadovať 25. mája 2018, prevádzkovateľ bude takéto posúdenie vo vhodnom čase musieť vykonať ako súčasť jeho všeobecných povinností týkajúcich sa zodpovednosti, no naďalej, aj keď toto posúdenie vplyvu na ochranu údajov môže vykonať niekto iný, či už z organizácie alebo mimo nej, v konečnom dôsledku je za túto úlohu zodpovedný prevádzkovateľ.
Čo riskujeme keď nebudeme postupovať korektne? Teda v zhode s GDPR ? V prvom rade sa riskuje uloženie pokuty až do výšky 10 miliónov € alebo 2% ročného celosvetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, za nevykonanie DPIA v stanovených prípadoch. Rovnako po skúsenostiach s takzvanými „bezpečnostnými projektmi“, ktoré deklarovali splnenie tohto právneho úkonu iba vo svojom názve, možno tiež predpokladať, že nedokonalé a nedostatočne individualizované vyhotovenia DPIA tiež neobstoja pred kontrolnými orgánmi úradu (Úrad na ochranu osobných údajov) a nebudú v praxi dostatočné na preukázanie splnenia predmetnej povinnosti.
Na záver povzbudenie a malú sumarizáciu, ako „liek“ na „strašiaka“ GDPR: ak dodržíme všetky zásady spracúvania osobných údajov, získame ich formou zákonného spracúvania, vo svojej organizácii urobíme DPIA a následne prijmeme a zavedieme primerané technické a organizačné opatrenia, určite budeme v zhode s GDPR. AKCENT NOVA Vám pri tomto procese ochotne pomôže a vopred Vám praje veľa úspechov pri implementácii opatrení a dosahovaní zhody s GDPR.