Vyššie pokuty, povinnosť testovať zabezpečenie online produktov či osoba poverená správou osobných údajov. To sú len niektoré z noviniek, ktoré prináša nová európska legislatíva na ochranu osobných údajov. Je na ňu vaša firma pripravená?
Nariadenie č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (tzv. GDPR), bude záväzné vo všetkých členských štátoch EÚ, teda aj na Slovensku. Zosúladiť ochranu osobných údajov vo vašej firme s nariadením treba najneskôr do 25. mája 2018, keď nadobudne účinnosť. Pripraviť právne, personálne a technické podmienky pre realizáciu nariadenia bude vyžadovať množstvo energie – preto je vhodné začať s prípravami už teraz.
Akými údajmi sa nariadenie zaoberá?
Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.
Za osobný údaj podľa nariadenia možno považovať napríklad meno, adresu, dátum narodenia, rodné číslo, pohlavie, osobný stav, občianstvo, vyobrazenie tváre, e-mailovú adresu, telefónne číslo, cookies, lokalizačné údaje či IP adresu.
K osobitným (citlivým) osobným údajom patria napríklad údaje o rasovom či etnickom pôvode, zdravotnom stave, sexuálnej orientácii, genetické a biometrické údaje. Postačuje, že máte zamestnancov či spracúvate údaje o klientoch alebo máte e-shop či kamerový systém, a ochrana osobných údajov podľa nariadenia sa týka aj Vás.
Čo prináša nové nariadenie (GDPR)?
Ucelenú a harmonizovanú právnu ochranu osobných údajov v EÚ vrátane rovnakej vymáhateľnosti či účinnej spolupráce medzi členskými štátmi. GDPR rozširuje a sprísňuje povinnosti, zodpovednosti a sankcie pre subjekt spracúvajúci osobné údaje.
Na čo myslieť na úplnom začiatku?
- Identifikujte, ktoré osobné údaje máte / spracúvate vo firme a či ich spracúvate zákonne a na účel, na ktoré boli získané.
- Zodpovedajte si otázku, ktoré údaje naozaj potrebujete; nepotrebné údaje nezbierajte a vymažte.
- Identifikujte tok osobných údajov vo vašej organizácii – ako a kde sú ukladané, chránené či vymazávané a kto k ním má prístup.
„Prevádzkovateľ je zodpovedný za súlad so zásadami spracúvania osobných údajov a musí vedieť tento súlad preukázať.“
Zmeny v oblasti súhlasu s nakladaním s osobnými údajmi
Určite aj vy máte na firemnom webe či v e-shope políčko na zaškrtnutie, vyjadrujúce súhlas návštevníka s narábaním s osobnými údajmi. Takto získaný súhlas z vopred začiarknutých políčok už nebude platný. Keďže sa menia podmienky súhlasu so spracovaním osobných údajov, bude potrebné si vyžiadať nové súhlasy, ktoré budú podmienky nariadenia spĺňať.
Mení sa aj súhlas so spracovaním osobných údajov detí. Za tie až do dovŕšenia 16 rokov môže udeliť súhlas len rodič alebo ich zákonný zástupca.
Nové nariadenie spresňuje podmienky vyjadrenia súhlasu (ako právneho základu na spracúvanie osobných údajov):
- súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný;
- ak sa spracúvanie vykonáva na viaceré účely, súhlas sa má udeliť / má byť oddelený / uvedený oddelene na všetky tieto účely;
- udelenie súhlasu na spracúvanie osobných údajov musí byť jasne odlíšiteľné od iných skutočností;
- súhlas má byť formulovaný v zrozumiteľnej a ľahko dostupnej forme, jasne a jednoducho;
- informovanie o možnosti súhlas odvolať musí byť také jednoduché, ako poskytnutie súhlasu.
Zodpovednosť firiem za bezpečnosť spravovaných údajov
Ak spracúvate osobné údaje akéhokoľvek typu, zodpovedáte aj za ich bezpečnosť.
EÚ v novom nariadení zvyšuje úroveň ochrany osobných údajov. Dôvodom je neustále sa zvyšujúci počet kybernetických útokov a vážnych bezpečnostných incidentov. Prevádzkovatelia budú musieť na ochranu osobných údajov používateľov používať napríklad novšie a kvalitnejšie technológie a postupy.
„Aj keď ste sa stali obeťou útoku hackera, môžete byť zodpovední za prípadný únik osobných údajov v prípade, že ste nezabezpečili ich ochranu na primeranej úrovni.“
Každý prevádzkovateľ bude povinný prijať primerané bezpečnostné opatrenia, ku ktorým budú patriť najmä:
- pseudonymizácia,
- šifrovanie,
- schopnosť zabezpečiť trvalú dôvernosť, integritu a dostupnosť systémov / služieb,
- schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim prípade fyzického alebo technického incidentu.
Dôležitým bezpečnostným opatrením bude aj pravidelné testovanie a posudzovanie účinnosti prijatých bezpečnostných opatrení na zaistenie bezpečnosti spracúvania údajov (napr. penetračné testy, bug bounty programy). Súčasťou tohto opatrenia je aj preverovanie bezpečnosti aplikácie či webu, cez ktoré dochádza k toku osobných údajov.
Pre firmy to znamená, že je najvyšší čas začať venovať pozornosť tomu, ako majú nakódovaný web a či neobsahuje bezpečnostné diery, cez ktoré ho je možné hacknúť a ukradnúť dáta.
„Neviete, či je váš web alebo mobilná aplikácia dostatočne bezpečná? Nechajte si ju výhodne otestovať etickými hackermi na hacktrophy.com.“
Zodpovednosť za dodržiavanie ochrany osobných údajov ide ruka v ruke s požiadavkou preukázateľnosti dodržiavania. Táto požiadavka je úzko spojená s potrebnou dokumentáciou, ktorú je vhodné vytvoriť, napríklad:
- interné smernice (dochádzka, nakladanie so spismi, identifikácia incidentov, kamerový systém, elektronická pošta, zálohovanie) či
- zdokumentovanie prijatých vhodných bezpečnostných opatrení.
- Rovnako dôležité sú i školenia zamestnancov najmä ohľadom povinností pri spracúvaní osobných údajov.
Rozširujú a spresňujú sa práva dotknutých osôb
Posilňujú sa práva osôb na lepšiu kontrolu nad osobnými údajmi:
- Právo na informácie
- Právo na prístup k osobným údajom
- Právo na opravu
- Právo na vymazanie / zabudnutie – Toto právo nadväzuje na staršie „právo na výmaz“. Jednotlivec si ho môže uplatniť napríklad v prípade, ak sú dáta spracované protizákonne alebo sa rozhodol odvolať súhlas so spracovaním osobných údajov
„Klienti budú mať právo na zmazanie alebo presun osobných údajov z vašej databázy.“
- Právo na obmedzenie spracúvania
- Právo na prenosnosť údajov – Dotknutá osoba bude mať po novom právo previesť si svoje osobné údaje k inému prevádzkovateľovi. Pôvodný prevádzkovateľ je povinný jej tieto údaje poskytnúť v bežnom formáte. Ako príklad môžeme uviesť zmenu mobilného operátora. Pokiaľ sa používateľ rozhodne po 25. 5. 2018 preniesť svoje číslo k inému operátorovi, pôvodný operátor musí poskytnúť novému operátorovi používateľa aj osobné údaje (ich typ upravuje priamo nariadenie) spojené s využívaním jeho služieb počas doby poskytovania služby.
- Právo namietať
- Právo namietať profilovanie
Zavádza sa oznamovacia povinnosť
Každý prevádzkovateľ či sprostredkovateľ tiež bude povinní do 72 hodín oznámiť Úradu na ochranu osobných údajov SR akýkoľvek zaznamenaný bezpečnostný incident (porušenie ochrany osobných údajov); výnimku budú tvoriť tie prípady, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb aj dotknutej osobe, bude povinnosť oznámiť bezpečnostný incident aj dotknutej osobe.
- Dokážete včas detegovať porušenie ochrany osobných údajov?
- Dokážete potom riadne a včas vyhodnotiť a spracovať povahu incidentu, jeho pravdepodobné následky, prijaté opatrenia?
Ďalšou povinnosťou je povinnosť dokumentovať prípady porušenia ochrany osobných údajov.
Bude potrebné mať vo firme zodpovednú osobu?
Mať určenú zodpovednú osobu bude nevyhnutné len v špeciálnych prípadoch, najmä tých, ak spracovávate veľké množstvo údajov alebo sú tieto údaje citlivé. Ďalšou zmenou je, že zodpovedná osoba môže byť aj právnický subjekt.
Odporúčame však, aby aj tie subjekty, ktoré nemusia mať zodpovednú osobu:
- zaznamenali internú analýzu, na základe ktorej určili, či zodpovedná osoba má alebo nemá byť menovaná, aby týmto spôsobom vedeli preukázať, že vzali do úvahy všetky relevantné faktory,
- poverili v rámci svojej organizácie osobu, ktorá bude mať ochranu OU „v popise práce“. Vhodným riešením môže byť zverenie agendy ochrany osobných údajov tímu osôb zloženému so zamestnancov a externých expertov (právo, IT a pod.).
Sankcie za porušenie nariadenia a náhrada škody
Za porušenie povinností podľa GDPR hrozí prevádzkovateľovi alebo sprostredkovateľovi pokuta až do výšky 20 miliónov EUR alebo 4 % celkového obratu za predchádzajúci účtovný rok (podľa toho, ktorá suma je vyššia).
Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia nového nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.
Najvyšší čas začať venovať pozornosť IT bezpečnosti
Uplatnenie nového nariadenia významne zvyšuje nároky na slovenské a české firmy. Dôležitou novinkou je napríklad povinnosť firiem testovať zabezpečenie online systémov, cez ktoré dochádza k pohybu osobných údajov. Je najvyšší čas začať vnímať ochranu osobných údajov ako neustály a systematický proces. Firmy by mali mať prehľad o toku osobných údajov a pravidelne preverovať, posudzovať a vyhodnocovať účinnosť a vhodnosť prijatých bezpečnostných opatrení.
Článok pre Hacktrophy napísal Michal Ridzoň z advokátskej kancelárie KRION Partners s.r.o.
