Čo nám prinesie nová legislatíva EÚ s GDPR?
Regulácia GDPR je anglickou skratkou pre Všeobecné nariadenie o ochrane osobných údajov, ktoré bolo schválené Európskym parlamentom v minulom apríli a ktorého účinnosť začína 25. májom 2018.
Cieľom tohto nariadenia je zosúladiť prístupy k ochrane osobných údajov v rámci celej Európskej únie, čím reaguje na dynamický rozvoj používania informačných technológií. Nariadenie GDPR sa týka všetkých organizácií, ktoré spracúvajú akékoľvek osobné údaje a určuje pravidlá ochrany, ktoré musia tieto organizácie zaviesť. Poďme sa na základné princípy GDPR pozrieť.
Prvým princípom je stanovenie práv subjektu údajov - fyzickej osoby, ktorej osobné údaje sú spracovávané napr. zamestnanec, alebo klient. Základným právom je, že spracovanie osobných údajov je podmienené súhlasom s ich spracovaním. Tento súhlas nie je potrebný len v prípadoch, keď je spracovanie vyžadované pre splnenie základných povinností, napr. zamestnávateľ nepotrebuje súhlas so spracovaním osobných údajov, ktoré je stanovené Zákonníkom práce. Vo všetkých ostatných prípadoch je spracovanie podmienené preukázateľným súhlasom. GDP stanovuje ešte ďalšie práva subjektu údajov, medzi ktoré patria:
- právo na prístup k údajom, ktoré sú o subjekte spracovávané
- právo na opravu nesprávnych údajov či vymazanie údajov vrátane práva byť "zabudnutý"
- právo na obmedzenie spracovania nepresných či nepotrebných údajov
- právo na prenosnosť spracovávaných údajov v štruktúrovanej podobe a pod.
Povinnosti súvisiace s ochranou osobných údajov plnia ich správcovia (tj. subjekti, ktoré určujú účel a prostriedky pre spracovanie osobných údajov - napr. lekár, ktorý vedie zdravotnú dokumentáciu svojich pacientov) a spracovatelia (tj. subjekti, ktoré osobné údaje pre správcu spracovávajú - napr. firma, ktorá lekárovi pomáha s prevádzkou počítača, kde je uložená zdravotná dokumentácia). Správcovia aj spracovatelia sú povinní zabezpečiť potrebnú úroveň ochrany osobných údajov a udržiavať dokumentáciu o účele spracovania osobných údajov, činnostiach, ktoré sú so spracovaním osobných údajov spojené a o prijatých technických a organizačných opatreniach pre ochranu osobných údajov. Medzi nové povinnosti správcov a spracovateľov osobných údajov patrí povinnosť ohlasovať prípady porušenia bezpečnosti osobných údajov, ktoré musia byť dozornému úradu oznámené bez zbytočného odkladu (do 72 hodín) od zistenia problému.
Pokiaľ môže mať spracovanie osobných údajov vysoké riziko pre práva a slobody fyzických osôb, je správca povinný vykonať tzv. posúdenie vplyvu na ochranu osobných údajov, čo znamená vykonanie podrobného zmapovanie účelov a spôsobov spracovania, určenie možných rizík a navrhnutie vhodných opatrení na ošetrenie týchto rizík. Posúdenie vplyvu na ochranu osobných údajov sa musí povinne vykonať v prípadoch systematického vyhodnocovania osobných údajov (napr. v poisťovniach), rozsiahleho rozpracovania citlivých osobných údajov (napr. zdravotnej dokumentácie v nemocniciach), či rozsiahleho monitorovania verejných priestorov.
Ďalšou povinnosťou správcu a spracovateľa je vymenovanie tzv. zmocnenca pre ochranu osobných údajov. Toho musia vymenovať všetci správcovia a spracovatelia, ktorí sú súčasťou verejnej moci alebo ich hlavná činnosť spočíva v systematickom monitorovaní osobných údajov, či rozsiahlom spracovaní citlivých osobných údajov. To v praxi znamená, že zmocnenca musí napríklad vymenovať nemocnica, ale v drobných zdravotníckych zariadeniach to nie je nutné. Medzi hlavné úlohy zmocnenca patrí poskytovanie poradenstva o ochrane osobných údajov, monitorovanie súladu a spolupráca s dozornými úradmi.
Veľmi nebezpečnou časťou GDPR sú sankcie, ktoré môžu byť 10 miliónov EUR resp. 2% obratu spoločnosti v prípadoch, kedy nie sú plnené povinnosti správcu alebo sprostredkovateľa. V prípade porušenia zásad ochrany, porušenia práv subjektu údajov, či neplnenia príkazov dozorných orgánov môžu sankcie dosiahnuť 20 miliónov EUR resp. 4% obratu, čo predstavuje nemalé sumy peňazí.
Regulácia GDPR je podstatnou zmenou, ktorá má dopad na všetky spoločnosti pôsobiace na slovenskom i českom trhu. Skúsenosti ukazujú, že rozsiahlejšie prípravy na zabezpečenie súladu prebiehajú hlavne u väčších organizácií a venujú sa prevažne legislatívnej problematike (optimalizácia súhlasov so spracovaním osobných údajov, či revízie zmlúv medzi správcami a spracovateľmi). Ďalší posun je očakávaný počas leta, kedy sa s prípravami na GDPR budú viac trápiť stredné a menšie spoločnosti. Zároveň je netrpezlivo očakávaná publikácia odporúčaní spojených s realizáciou technických a organizačných opatrení.
Zatiaľ nám nezostáva než veriť, že tieto odporúčania budú vychádzať z dobrej praxe, ktorá je v oblasti bezpečnosti informácií neoddeliteľne spojená s normou ISO/IEC 27001 a ktorá je už teraz účinným návodom, ako prežiť GDPR.