oPeniazoch.sk, GHS Foto: SITA/AP
Už o necelé dva mesiace nadobudne účinnosť zásadná zmena v ochrane osobných údajov – európske nariadenie GDPR a nový zákon o ochrane osobných údajov. Dá sa povedať, že nové pravidlá zásadne zvyšujú ochranu súkromia ľudí. Nový zákon a predovšetkým GDPR sa budú vzťahovať skutočne na každého, kto bude pracovať s osobnými údajmi. Preto ani tá najmenšia firma, ktorá spracúva len osobné údaje svojho jediného zamestnanca, sa týmto normám nevyhne. S blížiacim sa termínom 25. mája sa postupne upresňujú detailné požiadavky, ktoré musia firmy spĺňať. Prinášame vám prehľad niektorých zmien.
Scrollovanie nestačí, je potrebný aktívny súhlas
Takzvaná Pracovná skupina 29, ktorá je poradným orgánom a vydáva stanoviská a usmernenia k ochrane osobných údajov, vydala v poslednom čase viacero stanovísk a usmernení napríklad k udeľovaniu súhlasu so spracovaním osobných údajov na internete. „Podľa usmernenia Pracovnej skupiny 29 súhlas na spracúvanie osobných údajov môže byť na internete udelený napríklad aj tým, že užívateľ potiahne prst po obrazovke prístroja, zamáva pred inteligentnou kamerou alebo otočí telefónom dookola v smere hodinových ručičiek či v tvare osmičky. Naopak iba obyčajné prescrollovanie cez obchodné podmienky, ktorým ste udelili súhlas, už nebude postačovať. Firmy, ktoré pracujú s osobnými údajmi na internete, preto musia pôvodný postup zmeniť,“ vysvetľuje advokát Pavol Szabo z advokátskej kancelárie GHS Legal.
Jednotlivci nie sú zväčša dostatočne informovaní o spracúvaní ich osobných údajov
Zo skúseností väčšina firiem neinformuje ľudí o tom, že spracúva ich osobné údaje, na aký účel ich spracúva, komu sú sprístupňované a poskytované, kam sú prenášané, na akú dobu ich uchovávajú a podobne. „Firmy sú povinné poskytnúť dotknutým osobám mnohé z týchto informácií už podľa aktuálne účinného zákona a GDPR kladie omnoho väčší dôraz na transparentnosť a individuálne práva ľudí. Ak firma v rámci kontroly nepreukáže úradu, že poskytla dotknutej osobe príslušné informácie o spracúvaní jej osobných údajov, hrozí firme sankcia,“ objasňuje situáciu Pavol Szabó z GHS Legal.
Žiadne formulárové bezpečnostné projekty a „naoko“ nastavenia ochrany osobných údajov
Po novom už bude musieť byť každé nastavenie bezpečnosti ochrany osobných údajov „šité na mieru“, a to jednak po technickej, ako aj po formálnej stránke. A to vrátane uzatvorenia riadne vymožiteľných zmlúv. „Úrad na ochranu osobných údajov sa bude zaujímať, či firma pred každým spracúvaním osobných údajov posúdila, aké osobné údaje spracúva a či ich môže spracúvať v súlade s nariadením, kde sú uložené, kam ich poskytuje a podobne. A podľa toho bude posudzovať prijaté technické zabezpečenie, formálnu a zmluvnú dokumentáciu. Preto už nebudú postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov,“ hovorí advokát P. Szabó z GHS Legal.
Hlásenie úniku osobných údajov
Ak dôjde k úniku osobných údajov a bude to pre ľudí znamenať riziko pre ich práva, musí firma, ktorá osobné údaje spracúva, oznámiť úradu únik najneskôr do 72 hodín. „V závažnejších prípadoch musí únik osobných údajov dokonca okamžite oznámiť aj samotnej dotknutej osobe. To podľa Pracovnej skupiny 29 znamená, že ak sa napríklad v prípade nemocníc stanú kritické lekárske dáta pacientov čo i len dočasne nedostupnými, môže ísť o riziko pre práva dotknutých osôb. Naopak, ak vypadne prúd vo vydavateľstve a toto nebude môcť zasielať novinky svojim odberateľom, je nepravdepodobné, aby tým by boli porušené práva dotknutých osôb. Tieto situácie musí zohľadniť každá firma či inštitúcia podľa druhu zbieraných údajov a patrične sa na ne pripraviť,“ dodáva advokát Pavol Szabó z GHS Legal.
Stav prípravy je alarmujúci: len 1 z 10 firiem sa pripravuje na GDPR
Aj keď firmy majú už dlhšie povinnosť dbať na ochranu osobných údajov a na sprísnenie opatrení v súvislosti s GDPR mali dostatok času. Zo skúseností advokátskej kancelárie GHS Legal vyplýva, že drvivá väčšina firiem nikdy nemala údaje dostatočne zabezpečené už podľa aktuálne účinných pravidiel. Tým pádom budú mať ešte ťažší prechod na GDPR do mája v tomto roku. Stav nepripravenosti potvrdzuje aj prieskum britskej vlády, podľa ktorej len 38 % firiem počulo o GDPR a len štvrtina z nich už reálne zmenila svoj systému spracúvania osobných údajov. Dokonca podľa prieskumu pravdepodobne iba 13 % retailu a veľkoobchodov zaviedlo systém do súladu s GDPR. Podľa GHS Legal situácia na Slovensku nie je o nič lepšia.
„Ak sa firma ešte nepustila do úprav svojho systému spracúvania osobných údajov, odporúčam jej, aby si najprv presne zistila, s kými osobnými údajmi a v akom rozsahu dnes pracuje a následne oslovila advokátov, ktorí sa špecializujú na GDPR, aby v prvom kroku zanalyzovali tok osobných údajov. Následne môžu advokáti vypracovať príslušnú dokumentáciu, ktorú GDPR vyžaduje, v spolupráci s IT odborníkmi, ktorí sa zase postarajú o technickú bezpečnosť,“ odporúča advokát Pavol Szabó.
