Pojem GDPR (General Data Protection Regulation) sa čoraz viac preberá v rôznych médiách, a to predovšetkým z dôvodu možných obrovských sankcií voči firmám, ktoré ho nebudú dodržiavať.
V zásade ide o nový princíp týkajúci sa ochrany osobných dát obyvateľov Európskej únie. Ak ste jednou z organizácií, na ktorú dopadne nová regulácia GDPR (EU 2016/679), určite sa vám bude hodiť zoznam nižšie uvedených 10 bodov.
1. Ochrana osobných údajov aj mimo hraníc EÚ
Je to asi po prvýkrát, čo podobná regulácia zasahuje pri ochrane európskych dát aj mimo hraníc Európskej únie. V praxi to znamená, že povinnými subjektami budú nielen organizácie majúce sídlo v niektorej krajine EU, ale GDPR sa bude vzťahovať aj na organizácie mimo EU, ktoré pracujú s osobnými údajmi občanov členských krajín únie. Toto nové pravidlo má priamy dopad na mnoho spoločností, ktoré s osobnými údajmi pracujú. Tie totiž budú musieť zaistiť ochranu osobných údajov občanov EÚ, bez ohľadu na to, kde sa ich dáta v skutočnosti nachádzajú.
2. Presnejšie vymedzenie osobných údajov
Z novej definície osobného údaja „Any information related to a natural person or ‘Data Subject’“ sa môže zdať, že nejde o nejakú presnú definíciu. Avšak norma veľmi presne stanovuje, že osobným údajom je akákoľvek informácia, ktorá priamo, alebo nepriamo identifikuje danú osobu. Doslova sú v norme spomenuté nasledujúce príklady: meno, fotografia osoby, emailová adresa, bankové údaje, príspevky na sociálnych sieťach či stránkach, údaje o zdravotnom stave či IP adresa.
3. Väčšia zodpovednosť
GDPR zásadne zvyšuje úroveň zodpovednosti pre všetky fázy spracovania dát obsahujúce osobné údaje. Regulácia ukladá povinným subjektom požiadavky na ochranu osobných údajov rovnako tak ako schopnosť preukázať,
akými opatreniami súlad s GDPR dosahuje. V praxi to bude pre firmy znamenať nielen konkrétne opatrenie zaviesť, ale aj popísať a tiež byť pripravení zavedené opatrenia doložiť kontrolným orgánom.
4. Jasné pravidlá použitia osobných údajov
Znovu je treba povedať, že GDPR nie je „revolúciou“, ale skôr ďalším krokom v procese „evolúcie“ ochrany osobných údajov. Táto nová regulácia spresňuje definíciu osobných údajov, presnejšie popisuje pravidlá pri manipulácii s nimi a posilňuje právomoc kontrolných orgánov pri ich vynucovaní.
5. Transparentnosť pri porušení ochrany dát
Maximálne 72 hodín na nahlásenie zisteného porušenia bezpečnosti osobných údajov kontrolnému orgánu, a to vrátane popisu povahy daného porušenia a vyplývajúcich súvislostí. Takto jednoducho formulovaná povinnosť
implikuje celý rad interných opatrení tak technickej ako i procesnej a personálnej povahy pre povinné subjekty.
6. Jasné stanovenia rolí správcu a spracovateľa
GDPR tiež jasnejšie vymedzuje povinnosti tzv. správcov (Controller) a spracovateľov (Processor) systémov ukladajúcich, či spracovávajúcich osobné údaje. V názvosloví GDPR je správca entita, ktorá určuje účel, podmienky, rozsah a dôvod spracovania osobných údajov. Pritom spracovateľ je entita spracovávajúca osobné údaje menom iných entít. Spracovatelia teraz podliehajú väčšej zodpovednosti za ochranu osobných údajov, de facto rovnakej ako samotní správcovia.
7. Posilnenie práv pre subjekty osobných údajov
GDPR tiež zásadným spôsobom posilňuje práva subjektov osobných údajov, teda predovšetkým občanov EÚ. Robí tak jednak cez posilnenie existujúcich práv (právo na prístup k osobným údajom), ako aj cez nové inštitúty (právo byť zabudnutý, právo na prenositeľnosť dát) a v neposlednom rade cez nemalé pokuty za porušenie povinností daných regulácií GDPR.
8. Závažnejšie postihy
Najčastejšie zmieňovanou a mediálne najviac rozoberanou stránkou regulácie GDPR sú postihy, ktoré môžu dosiahnuť až 4 % celokorporátneho obratu. To u skutočne veľkých telekomunikačných operátorov, či retailových
reťazcov predstavuje čiastky porovnateľné s národnými rozpočtami menších členských krajín. Zaujímavá je tiež klauzula o postihu až 20 miliónov eur alebo 4 % obratu… podľa toho čo je vyššie. Pre občanov Európskej únie prináša GDPR jednoznačne a nespochybniteľne silnejšiu ochranu ich osobných údajov. O tom nemôže byt pochýb. Takto silne nastavená ochrana síce povinné subjekty stavia do situácie, keď budú musieť prijať mnoho nápravných opatrení. Na druhej strane platnosť GDPR začína až na konci mája 2018. Teda na prijatie opatrenia a uvedenie firiem do súladu s požiadavkami regulácie GDPR je stále ešte relatívne dosť času.
9. Posilnenie roly národných autorít
GDPR posilňuje rolu národných kontrolných autorít. Tieto budú čeliť značnému nárastu agendy strán kontroly dodržiavania súladu s pravidlami GDPR zo strany povinných subjektov. Na kontrolnom orgáne rovnako bude
v prípade porušenia pravidiel pri nakladaní s osobnými údajmi (data breach) posúdenie závažnosti, dohľad nad nápravnými opatreniami a v neposlednom rade aj vykonávanie sankčných procesov. Na druhej strane povinné subjekty, hlavne medzinárodné spoločnosti budú benefitovať z ustanovenia princípu „one-stop-shop“, teda jedného kontaktného miesta v rámci danej krajiny, na ktoré sa povinný subjekt, či sťažovateľ bude môcť obracať.
10. Prísnejšie pravidlá medzinárodných transakcií
Organizácie, ktoré spracovávajú alebo transferujú dáta obsahujúce osobné údaje aj mimo hraníc Európskej únie majú teraz sprísnené pravidlá na nakladanie s nimi. Po novom majú za povinnosť zaviazať si aj svojich nie-EÚ partnerov na nakladanie s osobnými údajmi práve podľa regulácie GDPR. To bude predstavovať značnú zmenu v správaní komerčných i vládnych organizácií. Rovnako platí aj zachovanie zodpovednosti organizácie za svojich dodávateľov/partnerov v prípade porušenia pravidiel GDPR.
Autor: Tomáš Hlavsa, ATOS
Tento článok vyšiel aj v tlačenom májovom vydaní TOUCHIT č. 5/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.