Veľa firiem o zmenách nevie

Nariadenie General Data Protection Regulation (GDPR) sa týka v podstate absolútnej väčšiny firiem. „Ak má firma zamestnancov alebo zákazníkov, je veľmi pravdepodobné, že osobné údaje spracúva. Je preto zvláštne, že až takmer 40 percent slovenských firiem si podľa nášho prieskumu myslí, že sa ich GDPR netýka,“ hovorí Ondrej Kubovič, špecialista na IT bezpečnosť zo spoločnosti ESET.

Spoločnosť ESET upozorňuje, že osobným údajom je aj meno a priezvisko či adresa elektronickej pošty. Z prieskumu, ktorý firma uskutočnila, vyplýva, že o GDPR vie a rozumie jeho dôsledkom len 15 percent firiem na Slovensku a 46 percent o GDPR ani len nevie.

Nedodržiavanie nových pravidiel pritom bude znamenať obrovské pokuty. Tie sa môžu vyšplhať až do výšky 20 miliónov eur alebo štyroch percent celosvetového ročného obratu.

Novinky

Nariadenie z EÚ si pritom vyžaduje systémové zmeny vo firmách, zmeny budú potrebné vo viacerých oblastiach. Zmeny budú technologické aj organizačné, vyžadujú si aj určitú filozofickú zmenu postoja k ochrane osobných údajov.

Bezpečnostné opatrenia a podávanie správ

Firmy musia byť schopné demonštrovať schopnosť chrániť osobné údaje. Zároveň nová úprava kladie dôraz na to, ako má vyzerať podávanie správ o únikoch údajov.

Ochrana osobných údajov bude v centre pozornosti. Firmy budú musieť posudzovať vplyvy svojej činnosti na ochranu osobných údajov, zároveň sa výrobky budú musieť navrhovať a vyrábať tak, aby jasne smerovali k ochrane osobných údajov.

Zároveň sa mení aj spôsob šifrovania a rozširuje sa okruh osôb, na ktoré sa pravidlá o ochrane osobných údajov budú vzťahovať.

Dotknuté osoby

Výrazne sa mení aj pozícia dotknutých osôb, teda konkrétnych ľudí, ku ktorým patria konkrétne údaje. Mení sa systém prístupu dotknutých osôb k údajom. Takisto nová úprava kladie dôraz na právo osôb „byť zabudnutý“. Firmy budú mať povinnosť v určitých prípadoch úplne vymazať údaje. Zároveň budú mať dotknuté osoby právo, aby sa na ne nevzťahovali rozhodnutia založené na automatickom spracovaní dát. Tiež sa tieto osoby budú môcť efektívnejšie brániť priamemu marketingu, ak o to budú mať záujem. 

Okrem toho sa mení systém, akým firmy získavajú súhlas od dotknutých osôb. Firmy budú potrebovať aktívny súhlas, nebude možné nastaviť služby tak, že ich používanie sa považuje za súhlas.

Organizácia

Firmy musia urobiť aj zmeny v organizačných zložkách. Firma bude musieť mať určenú osobu zodpovednú za dodržiavanie princípov GDPR. Súčasne bude platiť pravidlo jednotného kontaktného miesta, s ktorým budú firmy v súvislosti s ochranou údajov komunikovať.

Povinnosti sprostredkovateľov

Legislatíva, okrem takzvaného prevádzkovateľa, bude poznať aj sprostredkovateľa, teda subjekt, ktorý v mene prevádzkovateľa pracuje s osobnými údajmi. Tento sprostredkovateľ bude musieť taktiež dodržiavať nové prísne pravidlá, zároveň bude musieť byť schopný prevádzkovateľovi preukázať, že plní povinnosti vyplývajúce z GDPR.

S nadhľadom sa dá povedať, že práca s osobnými údajmi sa bude čiastočne podobať skladačke puzzle. Kompletný osobný údaj musí subjekt, ktorý s ním pracuje, schopný rozdeliť na dieliky, z ktorých nebude zrejmé, aký obraz majú tvoriť. Zároveň je potrebné dokázať na požiadanie celý obraz zložiť, alebo aj celú skladačku zlikvidovať, či vrátiť. 

K téme sa podrobnejšie vrátime v septembrovom vydaní magazínu Financial Report.