GDPR nezadržateľne prichádza a je tak čoraz viac strašiakom pre akúkoľvek firmu na Slovensku. Všade kde sa evidujú osobné údaje, vládne nervozita. Sú organizácie a snahy, ktoré síce situáciu zľahčujú, no pre zachovanie presnosti ochrany a všetkých projektov, ktoré s reálnym znením GDPR súvisia, musia firmy venovať zabezpečeniu a dokumentácií nemalý čas.
GDPR je nesprávne chápaný ako byrokratický krok z Európskej únie. Bolo však otázkou času, kedy začne niečo podobné platiť. Vzhľadom na to, že väčšina firiem nie je právne a počítačovo vzdelaných na toľko, aby nariadenie a smernice chápali správne, je samozrejme v súčasnosti problém. Celé GDPR je pre väčšinu z nás napísané v jazyku, ktorému nerozumieme.
- Presné znenie smerníc a nariadení nájdete na: https://dataprotection.gov.sk/uoou/sk/main-content/nariadenie-gdpr
GDPR – General Data Protection Regulation
Nová legislatíva spojená s GDPR sa týka všetkých krajín Európskej únie. Po prvý krát ide o nariadenie, ktoré sa však týka celého sveta. Akákoľvek firma spolupracuje s firmou v EÚ a spravuje, spracúva, či spostredkuje služby spojené s osobnými údajmi a databázami, musí uzavrieť s firmou v EÚ zmluvu v zmysle GDPR o ochrane týchto dát, osobných údajov, databáz a podobne. Do platnosti vstupuje od 25. mája 2018 a na prípravu mali firmy dostatok času. Ako býva zvykom, pri veľkom predstihu sa problémom a dokumentácii nevenuje toľko pozornosti a tak svoju povinnosť v GDPR objavili firmy v hodine dvanástej.
Platí pre všetkých. Pre akúkoľvek firmu, podnikateľa, či službu. Vo všeobecnosti ochrana osobných údajov platí aj pre fyzické osoby, kým obsah GDPR sa týka firiem a služieb. Dáta občanov krajín EÚ získavajú celosvetovú ochranu. Hoci sa zdá, že ide o rozmar byrokracie, v skutočnosti ide o nariadenie, ktoré tu malo byť už dávno. Nástupom moderných technológií, spojenie s internetom a pri množstve podvodných a nekalých praktík, ktoré sa dejú v elektronickom prostredí a drzosti niektorých podnikateľov je viac menej vítané, ak sa idú osobné údaje chrániť. Prišlo to však mimoriadne razantne bez postupnosti krokov.
Čo vlastne GDPR znamená pre firmy
Osobným údajom bol vždy údaj, ktorý je charakteristický pre jednotlivca a vieme ho vďaka nemu identifikovať. Email Janko.mrkvicka@email.xyz, alebo meno s iným údajom. GDPR je rozšírením, podľa ktorého je osobným údajom čokoľvek, podľa čoho sa dá jednotlivec identifikovať. Ak skladujete informácie ako meno a k nemu vieru, alebo stav duševného zdravia, aj to už podlieha GDPR. Každá firma musí mať svojho povereného zamestnanca, ktorý si žiaľ zlízne komunikáciu s úradmi a kontrolami v oblasti osobných údajov. Firma s veľkým objemom dát, v ktorých neustále je nejaký zásah, musí mať osobu DPO – Data Protection Officer (úradník pre ochranu dát), ktorý vznikne z niektorého zamestnanca, najčastejšie z toho, ktorý s dátami priamo pracuje. Druhá vec je, či s tým bude súhlasiť.
Získať platný súhlas od zákazníka bude ťažšie. Firmy musia preukázať presný a jasný súhlas so spracovaním osobných údajov. Vo veľkej miere tak končia emailové databázy, v ktorých sú emaily bez súhlasu posťahované nevedno odkiaľ a cieli sa na ne opakovaný spam. Aspoň s tým sa počíta. Hromadné emailingové spamujúce organizácie však budú zrejme pokračovať aj naďalej s tvrdeniami, že ste im súhlas dali, hoci ho nikdy nevedeli a nemohli preukázať. Dokonca GDPR zavádza novinku a to právo na zabudnutie. Ak klient požiada, je nutné mu vyhovieť a zaistiť mu „zabudnutie jeho údajov“ čiže úplný výmaz z databáz. Znie to šialene, no má to svoje pravidlá.
Firma, ktorá akýmkoľvek spôsobom zdieľa osobné údaje s inou firmou, musí mať vypracovanú zmluvu. Dodávateľ serverových riešení, databázového software, ktorého server je umiestnený mimo. Dokonca aj webhosting stránok – ak sú na stránke uložené osobné údaje klientov, je nevyhnutné mať zmluvu s webhostingom. Firmy preto musia osloviť svoj webhosting a požiadať ich o zmluvu, ak sami nemajú ani poňatia, ako má vyzerať. Niektoré hostingy po vzore z iných zmlúv, dokážu vyhovieť. Zmluvne sa zaväzujú dáta chrániť, hoci možno sami k nim nemajú reálny prístup. Týka sa to akéhokoľvek systému, ktorý nie je priamo v sídle spoločnosti a používa externú službu a úložisko. Je to aj prípad, kedy sa používa na odosielanie emailov mailchimp, apsis, či iná aplikácia. Jej sa odovzdávajú emailové adresy umiestňované na ich server, takže musia mať uzatvorenú vzájomnú zmluvu v zmysle GDPR.
GDPR zavádza novinku v podobe hlásenia úniku osobných údajov. Týka sa to napríklad hoci len prípadu, kedy ukradnú služobný notebook. Vyhodnocuje sa, aké všetky údaje, koho všetkého, mohli uniknúť a aké veľké riziko nastalo. Úradu pre ochranu osobných údajov sa hlási únik dát, prienik vírusov do databáz, napadnutia hackermi, ale aj stratené notebooky, mobily s údajmi, smartfony s emailovými správami a adresármi. USB kľúče s databázami a osobnými údajmi, zmluvami s osobnými údajmi klientov, alebo celé fyzické materiály s osobnými údajmi. Skrátka hlási sa absolútne akýkoľvek únik, strata, odcudzenie predmetov, ktorých súčasťou boli šifrované alebo nešifrované osobné údaje.
To celé však stále nekončí. Priestoru a noviniek je ďaleko viac. Oveľa prísnejšie sú pri snímaní kamerovým systémom, ktorý nesmie zaberať verejný priestor. V takom prípade aj dokumentácia vyzerá inak. V podstate sa mení nie len každý formulár a súhlasy s podmienkami, ich znenie, ale aj oblasť mimo počítače a dáta vytlačené, či zaznamenávané na papieri.
Nevyhovujete požiadavkám GDPR?
Ak nevyhovujete, žiaľ nebudete jediní. Existuje medzi podnikateľmi na Slovensku názor, že „ak nás bude veľa takých, čo to skrátka nemajú spravené poriadne, azda existuje nejaký generálny pardón, či tolerancia“ alebo „ani samotní úradníci nevedia, čo majú robiť“. Nie je síce správne spoliehať sa na chodbové reči. Zúfalstvo v mnohých firmách je však viditeľné a peniaze vyletúvajú von oknom najmä teraz v nemalej miere na projekty, preklady zmlúv a agentúry, ktoré si do odskáču za firmu.
Vznikol totiž priestor na uživenie špecialistov. Špecializované agentúry, ktoré sa postarajú o všetky oblasti a vypracujú projekt, nové postupy a upozornia na pochybenia. Ich ceny sú rôzne, no pre veľké firmy je za dobrú cenu považovaná aj tá štvorciferná.
Veľmi provizórne riešenie, ktoré v prípade problému má najmenšie možné následky, kým si nedoriešite GDPR do vlastnej firme, je vlastná dokumentácia. Spočíva vo vlastnom audite, čiže zhodnotení a analýze, kde všade sa používajú osobné údaje, ktoré firmy s nimi v akej podobe narábajú. Pokúste sa čo najviac priblížiť nariadeniam GDPR ako to len ide a získate tým menej príležitostí na postihy zo strany úradov. Aj provizórna dokumentácia a vlastné kroky pre splnenie GDPR pomôžu neskôr agentúram, ktoré túto oblasť zastrešia a zrejme aj cena môže byť v konečnom dôsledku iná.
Prajeme pevné nervy a správne vypracované projekty pre veľké firmy, ale aj akejkoľvek malej firme a živnostníkom so zoznamom klientov, ktorí nemajú poňatia ako funguje Excel, nieto ešte aby pochopili niektoré nezrozumiteľné spojenia v nariadeniach GDPR.
