Základ GDPR
Others
GDPR alebo aj všeobecné nariadenie o ochrane osobných údajov sa týka ochrany údajov a súkromia jednotlivcov v rámci EÚ, upravujúc import a export osobných údajov mimo oblastí EÚ.
Podľa legislatívy GDPR môžeme za osobný údaj považovať akúkoľvek informáciu, týkajúcu sa identifikovateľnej alebo neidentifikovateľnej určenej alebo určiteľnej osoby (fyzickej). Identifikovateľná fyzická osoba je osoba, ktorú môžeme identifikovať či už nepriamo alebo priamo pomocou odkazu na jej identifikátor ako napríklad:
– meno, priezvisko,
– lokalizačné údaje,
– identifikačné číslo,
– online identifikátory – cookies, IP adresa a iné,
– odkazy na prvky špecifické pre fyziologickú, genetickú, fyzickú, mentálnu, ekonomickú, kultúrnu, či sociálnu identitu danej osoby,
– údaje, týkajúce sa osoby, ktoré nie je možne okamžite zistiť (funkcia, profesia a iné).
Jednotlivé prípady je nutné posudzovať jednotlivo pričom treba brať ohľad na všetky skutočnosti, ktoré môžu smerovať k identifikovaniu alebo identifikácií konkrétnej fyzickej osoby.
GDPR sa týka každého, kto spracuváva osobné údaje fyzických osôb prostredníctvom úplného či čiastočného automatizovania (informačné systémy) alebo ručne.
Nariadenie GDPR prišlo do platnosti 25.5.2018.
Európska únia schválila nariadenie GDPR dňa 25.8.2018 a udelila občanom viaceré nové práva. Vďaka týmto právam je možné lepšie ochraňovať vaše osobné údaje. Legislatíva GDPR priniesla právo na prístup k osobným údajom alebo právo na vymazanie osobných údajov z databázy organizácie.
Medzi dôležité zmeny, ktoré legislatíva GDPR priniesla, môžeme zaradiť:
– pokuty do výšky 20 miliónov eur alebo do výšky 4% celkového obratu danej spoločnosti za predchádzajúci účtovný rok v závislosti, ktorá suma je vyššia,
– posilnenie práv dotknutých osôb,
– nové pravidlá týkajúceho sa cezhraničného prenosu osobných údajov,
– nová úprava ohľadom súhlasu zo strany neplnoletých dotknutých osôb,
– oznamovanie a dokumentovanie bezpečnostných incidentov,
– opatrenia pre ochranu osobných údajov sa zjednotili v celej Európskej únií,
– bezpečnostná dokumentácia a nové tlačivá v súlade s legislatívou GDPR,
– povinnosť opätovne nahlásiť všetky IS – informačné systémy,
– záväzné vymenovanie ZO/DPO – zodpovednej osoby pre všetky školy a materské školy,
– záväzné vymenovanie ZO/DPO – zodpovednej osoby pre všetky obce a mestá.
GDPR sa vzťahuje najmä na orgány štátnej správy, územnej samosprávy, verejnej moci a v neposlednom rade na všetky ostatné právnické a fyzické osoby, ktoré pri výkone svojej podnikateľskej činnosti spracovávajú osobné údaje.
Vaše osobné údaje môžete chrániť viacerými spôsobmi a nie je to ani komplikované. Dôležité je premyslieť si, aké informácie poskytnete danej organizácií a pre aký účel použijú tieto informácie. Ak organizácií neposkytnete citlivé osobné údaje tak s nimi nemôžu pracovať.
Kybernetický útočníci môžu použiť rôzne podvodné praktiky na získanie osobných informácií. Napríklad pomocou Phishing techniky sa môžu pokúsiť o získanie prístupových hesiel. Pomocou podvodných napodobenín platobných alebo prihlasovacích formulárov môžete nevedomky poskytnúť vaše osobné údaje takzvaným „phisherom“.
Každá dotknutá osoba má právo požadovať prístup k jej osobným údajom, taktiež má právo na opravu, vymazanie, obmedzenie spracúvania či prenosnosť jej osobných údajov, kedykoľvek jej súhlas odvolať a podať sťažnosť príslušnému dozornému orgánu.
Z GDPR sa vylučujú osobné údaje, ktoré nazývame anonymizované údaje, ktoré žiadnym spôsobom neidentifikujú danú osobu.
Pochopenie manažmentom a definovaním stratégie (tzv. GAP analýza) zo strany riadenia informačnej bezpečnosti a plnenia požiadaviek GDPR (zmena procesov či úprava informačných systémov).
Žiaľ, nie. Nariadenie platí pre každého rovnako. V prípade porušenia pravidiel prináša sankcie, s ktorými je potreba sa vysporiadať.
Výška pokuty za porušenie nariadení GDPR sa môže vyšplhať až na 20 miliónov eur alebo 4% ročného obratu danej spoločnosti, pričom závisí, ktorá sume je vyššia. Pokutu v maximálnej sume 10 miliónov eur alebo 2% ročného obratu danej firmy môžu udeliť pre:
– nie je súhlas zákonného zástupcu pri spracovaní osobných údajov osoby do 16 rokov,
– spracovanie osobných údajov môže prebiehať iba v súlade s pokynmi prevádzkovateľa,
– prevádzkovatelia a spracovávatelia musia implementovať opatrenia pre zabezpečenie dostatočnej ochrany osobných údajov,
– prevádzkovateľ je povinný oznámiť únik osobných údajov dozornému úradu do 72 hodín od zistenia tejto skutočnosti.
Áno, existuje. Prostredníctvom neho sa dá nahlásiť únik osobných údajov do 72 hodín, odkedy sa tento únik rozpoznal.
Na implementáciu sú potrebné isté kroky, ktoré sa vykonávajú vo vnútri spoločnosti. Na zavedenie GDPR vplýva množstvo faktorov, ktoré môžu ovplyvniť jej dĺžku.
Prvý krok spočíva v pochopení GDPR vyplývajúce z jeho povinností, termínov a sankcii. Druhý krok nesie v sebe vzdelávanie ľudí, ktorí budú priamo vykonávať činnosti spojené s implementáciou GDPR. Tretím krokom je analýza tejto implementácie.
Osobný údaj je každý údaj, ktorý dokáže priamo alebo nepriamo identifikovať fyzickú osobu. V tomto prípade sa jedná o údaje firmy, ktoré nespadajú pod GDPR, hoci v prípade kontaktu konkrétneho zamestnanca (ako zástupcu firmy) tieto jeho údaje pod zákon GDPR už spadajú, nakoľko je tento zamestnanec už identifikovateľný.
Ideálnym riešením je vykonanie certifikačného auditu podľa GDPR, ktorého výsledok sa oznámi aj príslušnému úradu.
Na základe zákona GDPR by sa po realizovaní jednorázového nákupu v špecializovanom e-shope mali osobné údaje nakupujúceho uchovávať iba na potrebnú dobu kvôli možnému uplatneniu nároku kvôli poškodenému tovaru. Zákazník môže udeliť súhlas na zasielanie obchodných oznámení a maximálne sa osobné údaje môžu uchovávať po dobu, s ktorou súhlasil zákazník pri posielaní obchodných oznámení.
Ochrana oznamovateľa má za úlohu poskytovať ochranu whistleblowerom, čiže osobám, ktoré sa rozhodli upozorniť na protispoločenskú činnosť (napr. korupcia) z vnútra danej inštitúcie, kde sú zamestnancami.
Novela zákona o ochrane oznamovateľov protispoločenskej činnosti nadobudla platnosť od 1. marca 2019 – Zákon č. 54/2019Z.z..
Oznamovanie protispoločenskej činnosti je vo verejnom záujme, oznamovateľ nahlási v dobrej viere a s úmyslom pomôcť pri odhalení protispoločenskej činnosti, ktorá je páchaná kolegom alebo nadriadením.
GDPR pre školstvo
Others
Vzdelávacie inštitúcie a ich spracúvanie osobných údajov bez súhlasu dotknutých osôb sa týkajú len konkrétne určených výslovných a oprávnených účelov, a to len v tom prípade, ak im to ustanovuje zákon.
Takéto nakladanie s osobnými údajmi podlieha povinnosti prevádzkovateľa, ktorý si musí vyžiadať súhlas dotknutých osôb. Jedná sa o údaje ako meno a priezvisko, dátum narodenia, trieda, príslušnosť ku škole a pod.
Nie, školské zariadenie nemusí mať uzavretú zmluvu s Ministerstvom školstva. Tá sa uzatvára iba s FO a PO, ktoré v mene školského zariadenia spracúvajú osobné údaje v ich informačných systémoch.
Ministerstvo môže udeliť prístup k osobným údajom školám a školským zariadeniam, zriaďovateľom, orgánom štátnej správy atď.
GDPR pre mestá a obce
Others
Mestá a obce pri plnení svojich úloh spracúvajú osobné údaje, čiže aj tie sa musia podriadiť nariadeniu GDPR.
Či malé či veľké, súlad s GDPR musia mať všetky obce bez ohľadu na rozlohu či počet obyvateľov.
Samozrejme môže, avšak je potreba dbať na nezávislosť danej osoby pri výkone jej práce a s nakladaním osobných údajov, aby neprišlo ku konfliktu záujmov.
GDPR sa týka rôznych oddelení mestských a obecných úradov (personálne oddelenie, oddelenia matriky, stavebných konaní, kontaktných centier).
GDPR pre nemocnice
Others
Zdravotnícke zariadenia nepotrebujú získavať písomné súhlasy svojich pacientov na účely spracovania osobných údajov. Takýto súhlas sa nevyžaduje, ak správa osobných údajov je nevyhnutná podľa osobitných predpisov.
Povinnosť zodpovednej osoby sa ukladá aj osobám, ktorých hlavnou činnosťou je správa osobných údajov týkajúcich sa zdravia, a to vo veľkom rozsahu, ale závisí to od konkrétnych okolností poskytovateľa zdravotnej starostlivosti.
Nie, zákon upúšťa od vypracovania bezpečnostného projektu a smerníc, dokonca ani neukladá povinnosť viesť evidenciu informačného systému Úradu na ochranu osobných údajov SR. Avšak je povinnosť viesť záznam o spracovateľských činnostiach v listinnej či elektronickej podobe.
Povinnosťou zdravotníckych zariadení je prijať primerané technické a organizačné opatrenia a bez zbytočného odkladu oznámiť dotknutej osobe (v tomto prípade pacientovi), ale aj Úradu na ochranu osobných údajov SR porušenie ochrany údajov.
GDPR pre hotely
Others
Platí pre hotely, vykonávajúce rozsiahle spracúvanie osobných údajov (či už hostí alebo zamestnancov).
Súhlas nie je potrebný v prípade, ak sú osobné údaje uchované v účtovnom systéme v prípade poskytovania ubytovania.
V rámci ubytovacích účelov sa spracúvajú nasledovné osobné údaje (meno a priezvisko, číslo OP / pasu, adresa trvalého bydliska, doba ubytovania).
Ak sa jedná o dôvod oprávneného záujmu za účelom bezpečnosti hostí, tým pádom je používanie kamerového systému v poriadku. Avšak zaznamenané údaje by sa nemali evidovať príliš dlho, iba do doby nevyhnutnej na jej evidovanie. Odporúča sa nastavenie kamerového systému na automatické mazanie údajov a všetkých hostí je taktiež potreba o takomto procese informovať.
Najčastejšie súhlasy, ktoré môže žiadať prevádzkovateľ hotela od jeho hostí sú nasledovné (súhlas so spracovaním osobných údajov, súhlas na marketingové účely príp. súhlas so všeobecnými obchodnými podmienkami).
GDPR pre firmy
Others
Nariadením GDPR je povinná sa riadiť každá firma, ktorá spracúva osobné údaje.
Nie, zodpovedná osoba nie je povinnosť, avšak je lepšie, ak existuje. Vykonáva totiž dozor nad správnym nakladaním s osobnými údajmi.
Samozrejme, GDPR nerozlišuje, či sa jedná o údaje fyzickej osoby alebo SZČO.
Možnosť nahlásenia úniku osobných údajov sa dá vykonať do 72 hodín od zistenia porušenia.
GDPR pre e-shopy
Others
Áno, či už sa jedná o malý či veľký e-shop, podriaďuje sa nariadeniu GDPR.
Neexistuje žiadna výnimka, v takomto prípade je potreba získať opätovný súhlas, inak nemôžeme tieto údaje ďalej spracovávať.
V prípade akejkoľvek kontroly musí e-shop vedieť preukázať, že všetky údaje, ktoré spracováva má podložené súhlasmi od dotyčných osôb.
GDPR pre občianske združenia
Others
Nariadenie GDPR zasahuje do všetkých organizácií, medzi ktorými sú aj neziskové organizácie, ktoré taktiež spracovávajú veľké množstvo osobných údajov.
GDPR pre občianske živnostníkov
Others
Žiadna neexistuje. Pri spracúvaní akýchkoľvek osobných údajov je nariadenie GDPR povinnosťou.
Je potrebné uzatvoriť sprostredkovateľskú zmluvu, v ktorej je nutné definovať spôsob, v akom rozsahu a na akú dlhú dobu môže sprostredkovateľ osobné údaje spracúvať.
GDPR pre účtovníkov
Others
Je potreba rozlišovať 2 subjekty, a to prevádzkovateľa, ktorý spracúva osobné údaje vo vlastnom mene, a sprostredkovateľa, ktorý spracúva osobné údaje v mene prevádzkovateľa (účtovník či účtovnícka firma).
Na základe osobitnej zmluvy.
Povinnosť chrániť údaje, ktoré spracúva, viesť záznamy o spracovateľských činnostiach, oznamovať porušenia ochrany údajov, spolupracovať s Úradom na ochranu osobných údajov SR, vykonávať výmaz osobných údajov.
Úrad na ochranu osobných údajov môže účtovníkovi uložiť pokutu do výšky 10 000 000 € alebo ak ide o spoločnosť do 2% celkového ročného obratu za predchádzajúci rok podľa toho, ktorá suma je vyššia.
GDPR pre sankcie a pokuty
Others
Spoločnostiam hrozia poriadkové pokuty do výšky 2000 € alebo do 10 000 €, pokuty môžu byť udelené aj do výšky 10 000 000 € alebo ak sa jedná o podnik do 2% celkového svetového ročného obratu za predchádzajúci rok, podľa toho, ktorá suma je vyššia a pokuty do 20 000 000 € alebo ak ide o podnik 4 % celkového svetového ročného obratu za predchádzajúci rok v závislosti, ktorá suma je vyššia.
Kybernetická bezpečnosť
Others
Treba zabezpečiť komplexnú bezpečnosť. Stupeň ochrany a postup v prípade kompromitácie presne definuje nariadenie GDPR.
Cookies sa spracúvajú na základe oprávneného záujmu spoločnosti ako záujmu prevádzkovateľa. Návštevník stránky má právo vzniesť námietku, o čom musí byť poučený v texte po rozkliknutí tlačidla „Viac informácií“. Rovnako musí byť poučený o možnosti zmeny nastavenia vo svojom prehliadači.
Pri voľbe internetového prehliadača by rozhodujúci faktor mala byť jeho bezpečnosť. Veľké množstvo funkcií alebo ak je dizajnovo prepracovaný neznamená, že poskytuje prvotriednu ochranu vašich dát.
Poistenie kybernetických rizík je vhodné najmä pre malé a stredné podniky prípadne samosprávy, ktoré majú menší objem financií pre následné riešenie kybernetického útoku. Ak by nastalo zlyhanie systému alebo chyba na strane zamestnanca má podnik k dispozícií financie z poistky, ktoré môže využiť na náhradu škody. Poistenie môžu využívať poskytovatelia služieb, obchodníci, alebo tí ktorí použivajú elektronické systémy, platobné terminály alebo automatizované systémy riadenia. V princípe sa môže poistiť ktokoľvek či už živnostník alebo právnická osoba, ktorá spracováva osobné údaje.
Poistenie u rôznych poskytovateľov je odlišné, ale dokáže pokryť finančné výdavky na ochranu dobrého mena, náklady určené na právnu ochranu, prešetrenie v súvislosti s porušením ochrany dát, výkupné určené pre útočníkov, fixné náklady a ušlý zisk, ak musí prevádzka prerušiť činnosť z dôvodu kybernetického útoku prípadne aj nároky tretej strany.
Zodpovedná osoba
Others
Zodpovedná osoba vykonáva činnosti spojené so spracúvaním osobných údajov, pre ktoré je typický pravidelný a systematický monitoring dotknutých osôb.
Oprávnená osoba je FO, ktorá pravidelne prichádza do kontaktu s osobnými údajmi pri plnení svojich pracovných povinností a vykonáva rôzne spracovateľské operácie spojené s týmito údajmi.
Zodpovedná osoba musí spĺňať určité odborné kvality, najmä odborné znalosti práva a procesov v oblasti ochrany osobných údajov.
Povinnosť ustanoviť zodpovednú osobu sa vzťahuje na orgány a inštitúcie verejnej moci, pri spracúvaní veľkého množstva dát, pri osobitnej kategórií osobných údajov a v prípade spracúvania osobných údajov o uznaní viny za trestné činy a priestupky.
Ustanovenie zodpovednej osoby je spojené aj s dodatočnými nákladmi. Viacerí podnikatelia môžu mať ustanovenú tú istú zodpovednú osobu pričom podmienkou je aby táto zodpovedná osoba bola dostupná v jednotlivých podnikoch.