Ochrana osobných údajov nemusí byť strašiakom
O rok začnú štát mimoriadne zaujímať osobné údaje. Ak máte firmu alebo inú organizáciu a vediete si akékoľvek záznamy o svojich zamestnancoch, členoch alebo zákazníkoch, mali by začať zaujímať aj vás. Od budúceho mája totiž začína platiť nové európske nariadenie, ktoré zjednocuje opatrenia na ich ochranu. Okrem množstva povinností prináša napríklad aj vyššie pokuty.
General Data Protection Regulation - Nariadenie Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a voľnom pohybe takýchto údajov spôsobí menšiu revolúciu, ktorá ovplyvní takmer každú firmu. Nariadenie nadobudne účinnosť v máji 2018. Hoci ešte neexistuje vykonávajúci predpis, legislatívu by mali firmy dodržiavať od prvého dňa.
Začať sa dá hneď
„Začať s prípravou na nové nariadenie možno okamžite,“ hovorí Tomáš Hlavsa, odborník spoločnosti Atos, ktorá organizáciám pomáha zosúladiť skutočnosť s požiadavkami nariadenia. „Právna analýza, procesný audit, dátový audit, to všetko sú veci, s ktorými netreba čakať a vďaka ktorým organizácia nebude budúci rok zaskočená.“
GDPR na prvý pohľad neprináša obrovskú systémovú zmenu v porovnaní s existujúcim slovenským zákonom o ochrane osobných údajov. Líši sa však v množstve detailov. Podčiarknuté, sčítané, firmy čaká napríklad prehodnotenie získaného súhlasu so spracovaním osobných údajov alebo doplnenie informácií, čo môže vyústiť k zmene všetkých existujúcich zmlúv.
Na pozore by mali byť aj firmy, ktoré si nainštalovali systém kontroly dochádzky cez odtlačky prstov, keďže GDPR sprísňuje ochranu biometrických údajov. Novými pravidlami sa riadi aj cezhraničný prenos údajov - ten sa týka najmä dát v cloudových úložiskách. Podrobnosti o všetkých zmenách možno získať napríklad na stránke slovenského Úradu pre ochranu osobných údajov.
Údaje v poriadku
Kto chce osobné údaje chrániť, mal by sa v nich v prvom rade vyznať. To zvyčajne býva najmä vo väčších organizáciách problém. Firmami prechádzajú desiatky dokumentov, dáta sú uložené v zložkách na lokálnych počítačoch, v centrálnych databázach alebo dokonca v cloudových úložiskách.
„Každá firma by pritom mala byť schopná zodpovedať na zopár jednoduchých otázok,“ hovorí Hlavsa. „Aké dáta zbiera, skladuje a vlastní, nakoľko sú citlivé, kde sa nachádzajú a kto k nim má prístup, ako sa v organizácii pohybujú, kam odchádzajú a komu sa poskytujú,“ hovorí odborník. Bez odpovedí nie je možné dosiahnuť súlad s GDPR.
Ako ich však získať? Ručné prehľadávanie a kategorizácia možno dáva zmysel v jednoosobovej firme, ktorá s osobnými údajmi pracuje v obmedzenej forme, no v každom inom prípade by išlo o nadľudské úsilie. „Dnes už našťastie poznáme platformy, ktoré dokážu všetky tieto otázky zodpovedať automatizovane,“ hovorí Hlavsa. „Výsledkom takéhoto auditu je prehľad, ktorý dokumenty roztriedi nielen podľa miesta uloženia, ale dokonca dokáže kategorizovať osobné údaje a odlíšiť tie, ktoré zákon považuje za citlivé,“ vysvetľuje. Platforma zvládne údaje vyhodnocovať aj naprieč rôznymi dátovými úložiskami.
Dáta v pohybe
Technologicky možno spracovať aj dáta, ktoré sú v pohybe. Najmä vo veľkých firmách nie sú výnimkou desiatky informačných systémov, ktoré pribúdali postupne. Ani IT oddelenia často nevedia presne určiť, ako sú navzájom previazané a presne kadiaľ nimi osobné údaje putujú. Aj to však už možno zistiť.
„Nová právna úprava zakotvuje povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov,“ hovorí odborník spoločnosti Atos IT Solutions and Services. „Na to však potrebuje presné dáta. Musí mať o osobných údajoch prehľad. Dnes sme schopní pokryť statické dáta - dokumenty, databázy, úložiská i toky medzi aplikáciami. Na základe nameraných údajov možno získať ucelený prehľad a zistiť, aké opatrenia sú zmysluplné a ekonomicky odôvodniteľné,“ dodáva Hlavsa.
Začať sa dá hneď
„Začať s prípravou na nové nariadenie možno okamžite,“ hovorí Tomáš Hlavsa, odborník spoločnosti Atos, ktorá organizáciám pomáha zosúladiť skutočnosť s požiadavkami nariadenia. „Právna analýza, procesný audit, dátový audit, to všetko sú veci, s ktorými netreba čakať a vďaka ktorým organizácia nebude budúci rok zaskočená.“
GDPR na prvý pohľad neprináša obrovskú systémovú zmenu v porovnaní s existujúcim slovenským zákonom o ochrane osobných údajov. Líši sa však v množstve detailov. Podčiarknuté, sčítané, firmy čaká napríklad prehodnotenie získaného súhlasu so spracovaním osobných údajov alebo doplnenie informácií, čo môže vyústiť k zmene všetkých existujúcich zmlúv.
Na pozore by mali byť aj firmy, ktoré si nainštalovali systém kontroly dochádzky cez odtlačky prstov, keďže GDPR sprísňuje ochranu biometrických údajov. Novými pravidlami sa riadi aj cezhraničný prenos údajov - ten sa týka najmä dát v cloudových úložiskách. Podrobnosti o všetkých zmenách možno získať napríklad na stránke slovenského Úradu pre ochranu osobných údajov.
Údaje v poriadku
Kto chce osobné údaje chrániť, mal by sa v nich v prvom rade vyznať. To zvyčajne býva najmä vo väčších organizáciách problém. Firmami prechádzajú desiatky dokumentov, dáta sú uložené v zložkách na lokálnych počítačoch, v centrálnych databázach alebo dokonca v cloudových úložiskách.
„Každá firma by pritom mala byť schopná zodpovedať na zopár jednoduchých otázok,“ hovorí Hlavsa. „Aké dáta zbiera, skladuje a vlastní, nakoľko sú citlivé, kde sa nachádzajú a kto k nim má prístup, ako sa v organizácii pohybujú, kam odchádzajú a komu sa poskytujú,“ hovorí odborník. Bez odpovedí nie je možné dosiahnuť súlad s GDPR.
Ako ich však získať? Ručné prehľadávanie a kategorizácia možno dáva zmysel v jednoosobovej firme, ktorá s osobnými údajmi pracuje v obmedzenej forme, no v každom inom prípade by išlo o nadľudské úsilie. „Dnes už našťastie poznáme platformy, ktoré dokážu všetky tieto otázky zodpovedať automatizovane,“ hovorí Hlavsa. „Výsledkom takéhoto auditu je prehľad, ktorý dokumenty roztriedi nielen podľa miesta uloženia, ale dokonca dokáže kategorizovať osobné údaje a odlíšiť tie, ktoré zákon považuje za citlivé,“ vysvetľuje. Platforma zvládne údaje vyhodnocovať aj naprieč rôznymi dátovými úložiskami.
Dáta v pohybe
Technologicky možno spracovať aj dáta, ktoré sú v pohybe. Najmä vo veľkých firmách nie sú výnimkou desiatky informačných systémov, ktoré pribúdali postupne. Ani IT oddelenia často nevedia presne určiť, ako sú navzájom previazané a presne kadiaľ nimi osobné údaje putujú. Aj to však už možno zistiť.
„Nová právna úprava zakotvuje povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov,“ hovorí odborník spoločnosti Atos IT Solutions and Services. „Na to však potrebuje presné dáta. Musí mať o osobných údajoch prehľad. Dnes sme schopní pokryť statické dáta - dokumenty, databázy, úložiská i toky medzi aplikáciami. Na základe nameraných údajov možno získať ucelený prehľad a zistiť, aké opatrenia sú zmysluplné a ekonomicky odôvodniteľné,“ dodáva Hlavsa.
Prihláste sa na Jarná ITAPA 2024
