Otestujte svoje vedomosti o ochrane osobných údajov
Musí byť súhlas so spracovaním osobných údajov iba písomný? Môžu si firmy od ľudí pýtať poplatky za poskytnutie informácií o osobných údajoch, ktoré o nich spracúvajú? Koľko času majú firmy na to, aby priznali úradom únik osobných údajov? Poznáte odpovede na tieto otázky?
Ide o oblasti, ktoré upravuje nové európske nariadenie o ochrane osobných údajov GDPR (General Data Protection Regulation). Vo všetkých členských štátoch sa začne uplatňovať od 25. mája 2018. Keďže si vyžiada rozsiahle zmeny v procesoch a systémoch u vyše pol milióna subjektov na Slovensku, s prípravou a najmä vzdelávaním musia začať už dnes.
Ak ste na úvodné otázky odpovedali „Nie, akceptuje sa napríklad aj hlasová nahrávka“; „Áno, pri opakovaných žiadostiach“ a „72 hodín od zistenia porušenia“, ste na dobrej ceste. Je toho však omnoho viac, čo musíte v súvislosti s požiadavkami GDPR poznať vy a vaši zamestnanci. „Každý zamestnanec, ktorý prichádza do styku s osobnými údajmi by mal vedieť, aké sú jeho povinnosti podľa nariadenia GDPR. Neznalosť a nekonanie môže mať pre firmu až likvidačné následky. Najčastejšie bezpečnostné incidenty vznikajú práve z nedostatočného povedomia o legislatíve a pravidlách. Keďže GDPR prináša menšiu revolúciu v oblasti ochrany dát, vzdelanie v tejto oblasti považujem za absolútne kľúčové,“ upozorňuje audítorka TÜV SÜD Slovakia Katarína Heiserová. Pokuty za nedodržiavanie požiadaviek nariadenia môžu dosiahnuť až 20 miliónov eur alebo 4 % z celosvetového obratu firmy. Cieľom nariadenia je zosúladiť mieru ochrany osobných údajov v celej Európskej únii a zároveň posilniť práva dotknutých osôb.
Získajte povedomie online
TÜV SÜD Slovakia v týchto dňoch spúšťa online vzdelávanie pre zamestnancov a manažment, ktoré obsahuje praktické informácie o GDPR. „E-learning im dá základné povedomie o nových pravidlách. Účastníci kurzu získajú potrebný prehľad o tom, ktoré z požiadaviek GDPR sa týkajú priamo ich firmy a aké náročné to pre nich bude, ako vlastne začať s prípravou a ako nastaviť implementačný plán,“ vysvetľuje Heiserová.
E-learningový kurz v jednotlivých kapitolách rozoberá najdôležitejšie oblasti nariadenia, popisuje, ako predísť chybám pri spracúvaní osobných údajov, aké riziká vznikajú pri ich úniku a aké kroky vtedy zvoliť, či ako kontrolovať a odhaľovať riziká spojené s ochranou osobných údajov. Po absolvovaní záverečného testu získajú účastníci online kurzu certifikát – potvrdenie od TÜV SÜD o úspešnom oboznámení sa s nariadením. Prihlásiť sa na e-kurz je možné cez elektronický formulár.
Podľa nariadenia GDPR musia firmy preukázať súlad s novými požiadavkami auditom alebo kódexom správania. Slovensko k nariadeniu pripravilo nový Zákon o ochrane osobných údajov, ktorý prešiel prvým čítaním v národnej rade. Po tom, čo bude definitívna verzia zákona schválená, doplní TÜV SÜD Slovakia do e-learningu ďalšie praktické informácie vyplývajúce zo zákona.
Najväčšie nástrahy GDPR
Heiserová očakáva, že pre firmy bude náročné splniť povinnosti GDPR súvisiace najmä s nahlasovaním únikov údajov a so zabezpečením práv dotknutých osôb.
Podľa nariadenia musia firmy oznámiť porušenie ochrany osobných údajov Úradu na ochranu osobných údajov do 72 hodín od zistenia porušenia. Kľúčové podľa Heiserovej bude nájsť vhodnú formu, respektíve postup na zisťovanie incidentov v reálnom čase. Incidenty, ktoré bude potrebné oznámiť, budú zahŕňať takmer každé porušenie, bez ohľadu či sa jedná o veľkú spoločnosť alebo o malý či stredný podnik. Spoločnosti po máji 2018 nebudú môcť riešiť únik dát iba interne, ako tomu bolo doteraz. „Povinnosť sa nebude vzťahovať iba na zásadné porušenia, ako napríklad strata či únik údajov alebo krádež identity, ale bude zahŕňať takmer každé porušenie osobných údajov. Napríklad aj výmenu obálok určených pre dve rôzne osoby bankou alebo prístup neoprávnenou osobou k databáze obsahujúcej osobné údaje. Ibaže by bolo preukázané, že je nepravdepodobné, že incident spôsobí riziko pre práva a slobody jednotlivcov, ktorých sa týka,“ ozrejmuje Heiserová.
Pre firmy nebude jednoduché ani pokryť striktnejšie požiadavky na zabezpečenie práv dotknutých osôb pri spracúvaní osobných údajov. Nie je ich málo, niektoré budú vyžadovať aj technické opatrenia a opatrenia na úrovni dát. „Ide napríklad o zaručenie bezpečného mazania osobných údajov, riadenie a monitorovanie aktivít s osobnými údajmi, zabezpečenie odolnosti systémov spracúvajúcich osobné údaje proti výpadkom a strate dát, schopnosť včas identifikovať bezpečnostné incidenty, analyzovať ich a zdokumentovať, pravidelné testovanie bezpečnosti osobných údajov, zavedenie šifrovania dát a osobných údajov,“ vymenúva Heiserová.
Najčastejšie chyby vo firmách
V závislosti od veľkosti a zamerania firmy, a takisto aj v závislosti od doterajšieho nastavenia informačnej bezpečnosti vo firme môže trvať príprava na súlad s nariadením 3 až 12 mesiacov. Lepšiu východiskovú pozíciu majú tie firmy, ktoré už dnes riešia informačnú bezpečnosť na nejakej úrovni – napríklad reálne dodržiavajú súčasný zákon o ochrane osobných údajov (122/2013), prípadne riadia informačnú bezpečnosť podľa medzinárodnej normy (ISO 27001).
Pri auditoch vo firmách sa experti TÜV SÜD Slovakia stretávajú s viacerými opakujúcimi sa nedostatkami. Napríklad spoločnosti spracúvajú osobné údaje neprimerane, to znamená, že spracúvajú viac údajov, ako potrebujú; že prekračujú lehoty na uchovávanie dát alebo spracúvajú dáta nezákonne alebo nezvolili správny právny podklad pre spracúvanie osobných údajov. Častým problémom je aj nedostatočné poučenie oprávnených osôb a nedostatočné bezpečnostné opatrenia.
V praxi sa audítori stretajú napríklad s tým, že v spoločnosti nie je regulovaný/obmedzený prístup k chráneným priestorom ako je napríklad archív, že HR oddelenie a mzdová učtáreň, ktoré spracúvajú citlivé osobné údaje, neboli fyzicky zabezpečené, nakoľko sa nachádzali uprostred spoločného open space firmy alebo aj s tým, že firma mala nainštalované kamerové systémy v šatniach, čím porušovala ochranu súkromia a mnohé ďalšie.
