Nová európska legislatíva na ochranu osobných údajov (GDPR) nadobúda účinnosť už 25. mája 2018. Prináša množstvo zmien, medzi ktoré patrí predovšetkým testovanie zabezpečenia online prostredia alebo poverenie osôb zodpovedných správou osobných údajov.
Ak vlastníte web, e-shop alebo robíte online dotazník, určite máte políčko na zaškrtnutie so súhlasom o narábaní s osobnými údajmi. Takto vopred začiarknutý súhlas už nebude platný. S novým spracovaním osobných údajov, bude potrebné si vyžiadať nové súhlasy.
Mení sa aj súhlas so spracovaním osobných údajov detí. Za deti, mladšie ako 16 rokov, môže udeliť súhlas len rodič alebo ich zákonný zástupca.
Nové nariadenie spresňuje podmienky vyjadrenia súhlasu:
Rozširujú a spresňujú sa práva osôb na lepšiu kontrolu nad osobnými údajmi. Medzi ne patrí napríklad právo na:
„Klienti budú mať právo na zmazanie alebo presun osobných údajov z vašej databázy.“
Pri spracovávaní osobných údajov, zodpovedáte za ich bezpečnosť pred kybernetickými útokmi. Vašou povinnosťou bude prijať primerané bezpečnostné opatrenia, napríklad:
Dôležitým bezpečnostným opatrením bude aj pravidelné testovanie a posudzovanie účinnosti prijatých bezpečnostných opatrení na zaistenie bezpečnosti spracúvania údajov (napr. penetračné testy, bug bounty programy). Súčasťou tohto opatrenia je aj preverovanie bezpečnosti aplikácie či webu, cez ktoré dochádza k toku osobných údajov.
Pre firmy to znamená, že musia venovať pozornosť tomu, ako majú nakódovaný web a či neobsahuje bezpečnostné diery, cez ktoré ho je možné hacknúť a ukradnúť dáta.
Ak neviete, či je váš web alebo mobilná aplikácia dostatočne bezpečná, nechajte si ju otestovať etickými hackermi z Citadelo alebo z hacktrophy.com.
Po novom ste povinní dodržiavať ochranu osobných údajov. Vašou povinnosťou je preukázať, ako sa táto požiadavka dodržuje. Preto je nevyhnutné mať k dispozícii potrebnú dokumentáciu, ktorú je možné vytvoriť napríklad:
Každý prevádzkovateľ a sprostredkovateľ bude povinný oznámiť prípadný incident, čiže porušenie ochrany osobných údajov, do 72 hodín Úradu na ochranu osobných údajov SR. V prípade incidentu a možného odcudzenia osobných údajov, bude povinnosťou oznámiť incident aj dotknutej osobe.
Ďalšou zmenou je povinnosť dokumentovať prípady porušenia ochrany osobných údajov a nutnosť predložiť ich úradom na vyžiadanie.
Každý, kto spracováva osobné údaje, by si mal odpovedať na nasledujúce otázky:
Ak spracovávate veľké množstvo osobných dát alebo sú tieto údaje citlivé, určite zodpovednú osobu (môže byť aj právnický subjekt). Určite vám odporúčame, aby ste:
Pri porušení povinností GDPR hrozí pokuta až do výšky 20 miliónov EUR alebo 4 % celkového obratu za predchádzajúci účtovný rok (podľa toho, ktorá suma je vyššia). Rovnako tak aj každá osoba, ktorá utrpela ujmu v dôsledku porušenia nariadenia, má právo na náhradu škody.
Uplatnenie nového nariadenia GDPR tak významne zvyšuje nároky na slovenské a české firmy. Firmy sú po novom povinné testovať zabezpečenie online systémov, cez ktoré dochádza k pohybu osobných údajov. Firmy by mali mať prehľad o toku osobných údajov a pravidelne preverovať, posudzovať a vyhodnocovať účinnosť a vhodnosť prijatých bezpečnostných opatrení.
Pripraviť právne, personálne a technické podmienky pre realizáciu nariadenia môže byť pre mnoho firiem náročné. Neváhajte preto kontaktovať externé firmy, ktoré sa v problematike orientujú a delegovať tieto úlohy na nich.
V Digmia vám vieme pomôcť s auditom vašich osobných údajov vo firme. Citadelo vám pomôže otestovať bezpečnosť vášho online prostredia alebo vyškolí vašich zamestnancov. Otestovať pripravenosť vašich dát s osobnými údajmi na vyhlášku GDPR môžete vyplnením jednoduchého formulára.