Spoločnú európsku legislatívu o ochrane osobných údajov (GDPR – General Data Protection Regulation) máme na stole už od apríla 2016 a predsa je o tejto veľmi dôležitej tématike trochu ticho. Ale keďže tento zákon bude bez výnimky platiť prakticky pre všetky firmy v Európskej únii (a dokonca aj mimo nej), zhrňme si odpovede na najčastejšie kladené otázky.
Čo je GDPR?
Ako sme už napísali v úvode, ide o jednotnú európsku legislatívu, ktorá má chrániť osobné údajov občanov únie. Tento zákon bude mať prednosť pred všetkými národnými zákonmi o ochrane údajov (čiže aj pred tým slovenským). Na druhú stranu, niektoré detaily GDPR nerieši, takže bude platiť aj slovenský zákon, ktorý sa momentálne plánuje znovelizovať a zladiť s európskym pravidlom.
Kedy GDPR vstúpi do platnosti?
Zákon začne platiť od 25. mája 2018. Nie je to až taký dlhý čas na prípravu, najmä pre podniky, ktoré pracujú s väčším množstvom údajov a budú nútené sa postarať o aplikáciu nových bezpečnostných technológií.
Aký bude postih za porušenie GDPR?
Pokuty budú prísnejšie než v doterajších zákonoch o ochrane údajov. Pokuta môže byť až 20 miliónov eur alebo 4 % z celosvetového obratu v minulom účtovnom období – podľa toho, ktorá suma bude vyššia. Ak GDPR poruší napríklad úrad, inštitúcia či samospráva, môže prísť o finančnú podporu z únie. Trest môže byť uložený už aj za to, že nemáte zabezpečenú alebo „upratanú“ databázu svojich zákazníkov. Ako trest môže byť uložené aj vymazanie databázy s údajmi, alebo povinnosť informovať osoby, o ktorých zbierate údaje.
Koho sa bude nová legislatíva týkať?
Prakticky všetkých subjektov v Európskej únii, lebo každá firma alebo úrad pracuje s nejakými údajmi ľudí. Bude sa to týkať aj firiem mimo EÚ (bez ohľadu na sídlo), ktoré pracujú s dátami občanov únie. A áno, zákon bude platiť aj pre cloudové služby na internete.
Ktorých osobných údajov sa pravidlá budú týkať?
Súkromný osobný údaj je meno a adresa, údaje ako rodné číslo či číslo občianskeho preukazu, e-mail (kde je uvedené meno), fotografia, odltačok prsta, číslo účtu alebo kreditnej karty, hlasová nahrávka, lekárske údaje, IP adresy, ale napríklad aj príspevky na sociálnych sieťach, ak si užívateľ želá, aby neboli verejné. Teoreticky sú osobné akékoľvek údaje vďaka ktorým je možné identifikovať konkrétnu osobu. Nové nariadenie sa bude týkať napríklad aj škôl, takže by sa riaditelia o problematiku mali živo zaujímať.
Aký je rozdiel medzi nariadením EÚ (regulation) a smernicou (directive)?
Nariadenie (vrátane GDPR) je legislatívny akt, ktorý sa uplatňuje v plnom rozsahu na celom území únie. Smernica je cieľ alebo odporúčanie pre jednotlivé krajiny, ktoré implementujú zákony v rámci svojej vlastnej legislatívy. Čiže GDPR je nariadenie.
Prečo zákonodarci únie prišli s novým nariadením?
Všeobecný pocit, že ochrana osobných údajov je nedostatočná, stúpa každým rokom ako sa spoločnosť čoraz viac digitalizuje. Osobné údaje môžu byť veľmi citlivé a dajú sa účinne zneužiť. Pritom v súčastnosti je ochrana osobných údajov veľmi nedbalá, alebo laxná. Záznamy alebo údaje sú voľne dostupné rôznym zamestnancom, ukladajú sa na nezabezpečných počítačoch, firmy môžu údaje veľmi ľahko zbierať a nie je výnimkou, že sa s údajmi vo veľkom obchoduje (napríklad marketéri si predávajú e-mailové databázy a podobne).
Budeme vo firme potrebovať nejakú novú technológiu?
Údaje ľudí musíte chrániť už teraz, takže by ste istú formu ochrany mali mať už v tejto chvíli. Odporúča sa však do spomínaného mája 2018 zainvestovať do lepšej ochrany dát, alebo sa poradiť s bezpečnostnými odborníkmi. Jedným z mnohých elegantných spôsobo ako zlepšiť ochranu údaju, môže byť šifrovací systém, napríklad slovenský ESET Endpoint Encryption, ktorý spoľahlivo zašifruje dáta na diskoch či v mailoch a vy splníte podmienky GDPR.
Budeme musieť mať vo firme funkciu DPO (úradníka zodpovedného za ochranu dát)?
Zodpovednú osobu DPO (Data protection officer) budú musieť mať verejné úrady a potom všetky subjekty, ktoré sa venujú systematickému zberu osobných dát. Bežné firmy nie. Táto osoba bude musieť riešiť do 72 hodín všetky konflikty a nezrovnalosti pri ochrane osobných dát. Na druhú stranu, napríklad pre firmy rozosielajúcu vo veľkom newslettre a podobne bude možno výhodné mať „zodpovednú osobu“, pretože potom nebude firma mať povinnosť informovať Úrad na ochranu osobných údajov SR.
Čo sa teda zmení?
Od novej legislatívy sa čaká, že občania budú mať vyšší štandard súkromia ako doteraz. Je možné, že spočiatku budú subjekty častejšie postihované a kontrolované ako predtým. Malo by sa zefektívniť „právo na výmaz“, mali by sa sprísniť pravidlá, čo sa týkajú obchodovania a prenositeľnosti údajov a v podstate sa úpravy dočká pomerne veľa detailov. Trebárs taký, že firmy, ktoré sa venujú rozsiahlemu remarketingu, budú musieť mať zodpovednú osobu, ktorá bude zvlášť dbať na to, že žiadne údaje sa nezneužijú.
