Približne pred rokom sme boli všetci s blížiacim sa dátumom 25.5. masívne oslovovaní dodávateľmi, odberateľmi, poradenskými spoločnosťami, aby sme urgentne riešili ochranu osobných údajov (GDPR). Naše mailové schránky boli preplnené žiadosťami o udelenie súhlasov so spracúvaním osobných údajov a zákazníci nás žiadali o uzatvorenie sprostredkovateľkých zmlúv. Konzultanti nás strašili vysokými pokutami ak dozorný orgán zistí pri kontrole nesúlad so zákonom a nariadením. Ako sa zmenila situácia v EU a na Slovensku po zavedení GDPR? Ktoré oblasti ochrany osobných údajov sú stále nejasné aj rok po zavedení nariadenia?
Nariadenie GDPR a nový zákon o ochrane osobných údajov posilnili práva dotknutých osôb a priniesli nové povinnosti pre subjekty spracúvajúce osobné údaje. Zaviedol sa proces nahlasovania incidentov, pričom na Slovensku bolo za toto obdobie na Úrade pre ochranu osobných údajov (ďalej len úrad) zaevidovaných len 94 prípadov. Z pohľadu EU bolo najviac incidentov zaznamenaných v Holandsku (15 400), v Nemecku (12 600) a vo Veľkej Británii (10 600). Kontrolné úrady boli však relatívne zdržanlivé pri udeľovaní pokút. Zverejnené boli zatiaľ len tri prípady (Poľsko, Litva a Belgicko) s pokutami v celkovej výške 283 000 EUR. Podobne tomu bolo aj na Slovensku, kde úrad zahájil 48 kontrol a udelil dve pokuty v celkovej výške 1 500 EUR.
Jedným z troch najčastejších pochybení podľa úradu bola popri nesprávnom aplikovaní zásad spracúvania, neplnení informačnej povinnosti práve oblasť bezpečnosti spracúvania osobných údajov. Spoločnosti síce vypracovali (alebo si nechali vypracovať) dokumentáciu GDPR, ale samotné dokumenty nezvýšili bezpečnosť, pokiaľ neboli realizované tzv. technické a organizačné opatrenia pre zamedzenie porušenia dôvernosti, dostupnosti a integrity osobných údajov. Najčastejšou slabinou bola nedostatočná ochrana prístupu, prenosu a uchovávania osobných údajov v papierovej alebo elektronickej podobe. Prístupové heslá do systémov boli často slabé, statické bez vynútenia obmeny v čase, nenáhodné, rovnaké pre rôzne služby a ľahko odvoditeľné. Podobne dvojfaktorová autentifikácia, t.j. overovanie pomocou dvoch nezávislých prvkov pri prístupe do systému len pozvoľna nachádzala uplatnenie v aplikáciách. Nedostatočné odlíšenie úrovní prístupových práv a chýbajúce logovanie v systémoch mohlo spôsobiť, že aj rádový zamestnanec dokázal exportovať zo systému celú databázu obchodných kontaktov alebo hromadne meniť osobné údaje zamestnancov bez toho, aby bol takýto incident odhalený.
V oblasti prenosu dát sme zanedbávali najmä ochranu šifrovaním. Osobné údaje posielame často nešifrovanou mailovou komunikáciou alebo nechránime heslom prílohy mailov obsahujúce osobné údaje. Rovnako používame často nešifrované prenosné médiá (napr. USB kľúče). Pri ukladaní a zdieľaní dát sa neraz spoliehame na verejné dátové úložiska (napr. ulozto.sk alebo dropbox), kde riskujeme kompromitovanie osobných údajov napr. v prípade hackerského útoku.
Po nadobudnutí účinnosti nariadenia a zákona na Slovensku chýbali návody a usmernenia ako ich aplikovať v praxi. Úrad niektoré metodiky doplnil, napr. Zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu, avšak mnohé otázky diskutované na odborných fórach neboli jednoznačne zodpovedané. Preto ani dnes nevieme jasne povedať, ako správne nastaviť dobu uchovávania dát a či evidenčné číslo vozidla (EČV) je alebo nie je osobný údaj. Neurčito je definovaný aj pojem „veľký rozsah“ pri posudzovaní spracúvania osobných údajov vo veľkom rozsahu.
Pri pohľade na to, ako spoločnosti v priebehu posledných 12 mesiacov riešili vyššie uvedené výzvy GDPR, sme sa stretli s rôznymi prístupmi. Niektorí sa pokúšali zvýšiť ceny služieb, do ktorých prenášali náklady na GDPR vo forme dodatočných poplatkov pre klientov, k čomu úrad zaujal negatívne stanovisko (napr. bytové družstvá). Iní sa snažili poistiť proti potenciálnemu porušeniu GDPR nadmerným získavaním súhlasov na spracúvanie osobných údajov aj v prípadoch, kde to nebolo vhodné. Pri vzniku incidentov sa niektoré firmy zľakli možnej straty reputácie a porušenie radšej neoznámili alebo naopak radšej ohlasovali každú aj nevýznamnú udalosť (napr. nefunkčnosť systému) bez vyhodnotenia, či sa vôbec jedná o porušenie ochrany osobných údajov.
Aby sme sa však nepozerali na GDPR jednostranne. Zákon aj nariadenie donútili množstvo organizácií upratať si svoje procesy a pravidlá, ako nakladať s osobnými údajmi. Pomohli tiež k zvýšeniu nášho povedomia o tom, že k osobným údajom sa máme správať rovnako seriózne ako k svojmu majetku či finančným investíciám. Žijeme v digitálnom svete, kde osobné údaje a údaje zákazníkov majú cenu zlata a stojí za to si ich chrániť. Tomuto napomáha aj samotné GDPR.