Technologickí giganti aj menšie spoločnosti sa už viditeľne pripravujú na prísnejšiu ochranu osobných údajov s názvom General Data Protection Regulation (GDPR), ktorá začne byť účinná od 25. mája tohto roka. Takmer každý spotrebiteľ v poslednom období dostal email od Google či správu od Facebooku, že aktualizovali zásady ochrany osobných údajov a žiadajú vás, aby ste si skontrolovali vaše nastavenia súkromia. Ako sa zachovať, radia experti TÜV SÜD Slovakia.
Internetový prehliadač, sociálna sieť, medzinárodný predajca oblečenia či doručovateľská služba. Organizácie zo všetkých sektorov v posledných dňoch a týždňoch zasielajú zákazníkom informácie o nových zásadách ochrany súkromia, ku ktorým ich primälo nové európske nariadenie GDPR. Väčšinou ich nazývajú ako vylepšenia alebo hovoria o väčšej kontrole nad dátami, ktorú dávajú do rúk užívateľom.
Ako firmy informujú spotrebiteľov
Napríklad Facebook informoval, že zavádza „nové nástroje ochrany osobných údajov“. Zároveň postupne vyzýva všetkých užívateľov, aby sa oboznámili s tým, ako Facebook používa ich dáta a aby prehodnotili svoje nastavenia súkromia na sociálnej sieti. Google vo svojich aktualizovaných pravidlách ochrany súkromia vysvetľuje, aké informácie zhromažďuje, prečo ich zhromažďuje a ako voči tomu môžu užívatelia zasiahnuť. Britský maloobchodný predajca Next sa zaväzuje dodržiavať GDPR a ubezpečuje, že bezpečnosť poskytnutých osobných informácií je preň dôležitá.
Ako majú spotrebitelia rozumieť týmto „aktualizáciám“? Certifikovaný etický hacker a odborník na kybernetickú bezpečnosť zo spoločnosti iseco Ľubomír Kopáček je voči niektorým výzvam kritický. „Niektoré vyhlásenia v skutočnosti nehovoria vôbec nič, v množstve slov nenájdete relevantné odpovede, sú to majstrovské diela armády amerických právnikov, ktorí majú zrejme tento rok Vianoce dvakrát.“ Advokát Pavel Nechala zo spoločnosti Nechala & Co. dopĺňa, že „na jednej strane získala ochrana osobných údajov pozornosť ako nikdy predtým, no na druhej strane je otázne, či sa ochrana vôbec aj zvyšuje.“
Kopáček aj Nechala spolupracujú s TÜV SÜD Slovakia na certifikovaných školeniach o GDPR pre zamestnancov, manažmenty a zodpovedné osoby.
Ako využiť GDPR na zvýšenie ochrany svojich dát
Odborníci radia spotrebiteľom vyťažiť v tejto chvíli z otvorenejšej komunikácie firiem. „Dotknuté osoby by mali venovať pozornosť informáciám od spracovateľov ich dát. Dozvedia sa tak napríklad, že niektorí obchodníci ich údaje poskytujú tretím stranám na marketingové účely. Zistia, že na sociálnej sieti môžu obmedziť využitie ich dát na zobrazovanie reklám, aj keď sa im nemôžu úplne vyhnúť. A prídu takisto na to, že môžu zakázať prehliadaču ukladať ich aktivitu a vymazať doterajšie vyhľadávania. Až keď si naplno uvedomíme, kde všade sú naše dáta a aké práva nad nimi máme, až vtedy ich vieme naplno využiť,“ ozrejmuje prevádzkový riaditeľ TÜV SÜD Slovakia Martin Tichý.
Hoci GDPR nezavádza úplné novinky pre spotrebiteľov, predsa len ich možnosti rozširuje a prináša ich reálnu vymožiteľnosť. Majú právo na opravu, na zmazanie, na obmedzenie spracovania, na prenos údajov či na obmedzenie využitia dát na automatizované rozhodovanie vrátane profilovania. Jedno z najsilnejších práv, ktoré pre spotrebiteľov prináša GDPR je právo na prístup k údajom. Po 25. máji budú musieť prevádzkovatelia na žiadosť dotknutým osobám do mesiaca poskytnúť „odpis“ ich osobných údajov, odkiaľ a prečo ich majú, aj na akom základe ich spracúvajú. „Dotknuté osoby budú prevádzkovateľov konfrontovať a môžu iniciovať aj konanie na Úrade na ochranu osobných údajov. Rovnako si budú môcť uplatňovať vzniknutú škodu súdnou cestou. Aj toto je dôvod, prečo sa firmy nemôžu len nečinne prizerať a spoliehať sa na to, že sa ich nové opatrenia nedotýkajú,“ myslí si Nechala.
Ako zvládnuť štart GDPR
Firmy na zavedenie GDPR potrebujú týždne až mesiace, aby zabezpečili systémy, vypracovali smernice a hlavne dovzdelávali zamestnancov. Čas potrebný na implementáciu závisí najmä od aktuálnej úrovne riadenia informačnej bezpečnosti v danej firme. No ani tie firmy, ktoré so zavedením nariadenia ešte nezačali, by nemali rezignovať. Mali by sa snažiť do 25. mája naplánovať a zvládnuť tie najdôležitejšie kroky. A následne pokračovať. Podľa Martina Tichého s najväčšou pravdepodobnosťou bude na Slovensku existovať skupina firiem, ktoré o štyri dni nebudú spĺňať požiadavky GDPR. Vystavujú sa tak viacerým rizikám – nielen riziku vysokých sankcií od štátu, ale aj riziku straty dôvery zo strany svojich zákazníkov a neschopnosti naplniť ich zákonné požiadavky.
Kopáček prízvukuje, že správne implementovaná ochrana osobných údajov bude nikdy nekončiaci sa proces. Mal by prechádzať pravidelnými revíziami a mal by reflektovať vždy aktuálny stav v oblasti ochrany tohto typu dát. “Hrozby sa neustále vyvíjajú, prichádzajú nové, útočníci sú stále kreatívnejší, hodnota dát rastie,” ozrejmuje odborník.
Okrem reálneho dodržiavania nových požiadaviek musia byť firmy schopné aj formálne preukázať, že GDPR spĺňajú. Majú viacero možností – kódex správania alebo certifikát. Obe tieto možnosti poskytujú určité potvrdenie dotknutým osobám a regulátorom, že firma plní nariadenia GDPR a podrobuje sa dohľadu či kontrole tretej strany. So žiadosťou o certifikát súladu s GDPR sa môžu firmy už teraz obrátiť na certifikačnú autoritu TÜV SÜD Slovakia.
