Približne 530-tisíc subjektov na Slovensku sa musí začať pripravovať na prísnejšiu ochranu osobných údajov. Povinnosti sa týkajú všetkých členských štátov. Sprocesuje ich najväčšia európska regulácia GDPR – General Data Protection Regulation. Firmy a podnikatelia budú musieť začať s prípravou už dnes, aby stihli zladiť svoje systémy s novými požiadavkami. Inak hrozia likvidačné pokuty.
Cieľom regulácie, ktorá vstúpi do účinnosti v máji 2018, je zvýšiť ochranu osobných údajov a posilniť práva fyzických osôb. Slovensko k európskemu nariadeniu pripravilo nový zákon o ochrane osobných údajov, ktorý sa práve pripomienkuje. Certifikačná autorita – spoločnosť poskytujúca inšpekčné a certifikačné služby, TÜV SÜD Slovakia, bude firmám a jej pracovníkom pomáhať zvládnuť upravenú reguláciu a odborne vzdelávať príslušných ľudí.
Ako vysvetľuje audítor zo spoločnosti TÜV SÜD Slovakia Igor Straka, tu je výber najdôležitejších zmien.
Likvidačné pokuty – Na dodržiavanie pravidiel bude dohliadať slovenský Úrad na ochranu osobných údajov. Predpokladá sa, že nebude kontrolovať spoločnosti, ktoré súlad s GDPR preukážu auditom od certifikačnej autority. Ak úrad zistí porušenie, môže upozorniť, dať firme úradné pokarhanie, pozastaviť spracovanie údajov, prípadne udeliť pokutu až 20 miliónov eur alebo do výšky štyroch percent z celkového ročného obratu.
Účel spracovania osobných údajov – Spoločnosti majú niekoľko až niekoľko desiatok rôznych databáz, v ktorých zhromažďujú rôzne skupiny osobných údajov. Nová regulácia prísnejšie stanovuje, aké právne základy sú zákonné. Ako právny základ už neobstojí napríklad spracúvanie údajov, ktoré už boli zverejnené alebo spracúvanie údajov pre priamy marketing. Pre tieto prípady budú musieť hľadať firmy iné zákonné dôvody, získať súhlasy dotknutých osôb alebo prestať zhromažďovať údaje s týmto účelom.
Udelenie súhlasu – Ak pre spracovanie osobných údajov nenájde firma právny základ, musí naň mať súhlas dotknutých osôb. Najväčšími zmenami oproti súčasnému stavu je nutnosť získať súhlas na každý účel spracovania osobných údajov zvlášť. V prípade e-dokumentov je najdôležitejšou zmenou zákaz zaškrtnutia políčka udelenia súhlasu vopred. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas nepovažujú. Spracúvanie údajov detí na základe súhlasu bude možné od 16 rokov, inak bude potrebný súhlas rodičov.
Priznanie úniku – Do 72 hodín od zistenia porušenia ochrany osobných údajov musí spoločnosť informovať Úrad na ochranu osobných údajov. Súčasťou oznámenia musí byť aj opis pravdepodobných dopadov a prijatých alebo plánovaných opatrení na nápravu.
Poskytovanie informácií – Na požiadanie budú musieť spoločnosti dotknutej osobe poskytnúť kópie osobných údajov, ktoré o nej spracúvajú, s akým účelom a kto k nim má prístup. Splnenie tejto požiadavky si vyžiada veľké zásahy do existujúcich informačných systémov, keďže takéto funkcionality dnes bežne neobsahujú. Na vyhovenie žiadosti bude mesiac, v zložitých prípadoch tri.
Právo na vymazanie / zabudnutie – Už dnes je v niektorých legislatívach štátov zakotvené právo dotknutej osoby na zabudnutie v internetovom prostredí. GDPR zjednocuje definíciu a podmienky. Osoba môže žiadať o výmaz, ak sa naplnil účel spracovania jej osobných údajov. Okrem toho musí informovať aj všetkých príjemcov zverejnených údajov, aby vymazali odkazy na tieto údaje.
Bezpečnosť spracovania – Spoločnosti musia prijať opatrenia, aby spracúvali osobné údaje bezpečne. Môžu údaje pseudonymizovať, napríklad šifrovať. To umožňuje priamu identifikáciu osoby až po odšifrovaní. Súčasťou budúcich opatrení je aj minimalizácia spracúvaných údajov. Spoločnosti by si nemali pýtať osobné údaje navyše len pre istotu.
Rozšírenie pôsobnosti – GDPR rozšírila definíciu pojmu osobný údaj. Nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Ochrana sa teda vzťahuje aj na údaje, ako sú lokalizačné údaje, email či IP adresa. Rozšírila sa aj teritoriálna pôsobnosť ochrany – vzťahuje sa na prevádzkovateľov a sprostredkovateľov z únie bez ohľadu na to, kde údaje spracúvajú.