Novinky

Nová služba pre partnerov - komplexné riešenie GDPR pre Vašich zákazníkov

2.11.2017 SecTec Novinky

 Ste INOVÁTOR? Máte radi všetko nové, milujete nové myšlienky, ihneď ich adaptujete? Radi čelíte riziku z nového a nepoznaného a neobávate sa neúspechu?

- V takom prípade už GDPR poznáte, riešite jednotlivé oblasti a máte rozbehnutý projekt. Gratulujeme!

Ste EARLY ADOPTER (skorý osvojiteľ)? Dokážete rýchlo reagovať na nové veci, aj keď najskôr chcete poznať ich efekt a benefity pre Vás? Ste radi, keď sa môžete pochváliť s tým, že „vy už veci riešite“?

- Zrejme ste už začali s GDPR pracovať a projekty sa u Vás nachádzajú v rôznych fázach rozpracovanosti. Máte náskok, bod pre Vás!

Patríte k väčšine - SKORÁ ALEBO NESKORÁ MAJORITA? Predtým, než sa pustíte do riešenia, radi poznáte všetky pre a proti, chcete poznať benefity aj riziká? V oblastiach, ktoré sú pre Vás nové, sa radi obrátite na odborníkov, ktorí už danú oblasť poznajú?

- Asi ste už o GDPR počuli, že? Alebo nie? Nevadí, zdrojov informácií k tejto téme pribúda závratnou rýchlosťou a každý sa Vás snaží presvedčiť, že potrebujete práve jeho. Že si neviete z tej záplavy informácií vybrať? Pozrite nižšie na túto stránku, ste tu správne.

Ste ONESKORENCI? Máte ešte dosť času, veci riešite, až keď to je nutné?

- Kľudne spite ďalej. Ale by ste mali vedieť, že 25. mája 2018 už môže byť neskoro. Prečo vtedy? Aha, vy to neviete. No predsa preto, lebo:

25. mája 2018 vstupuje do platnosti nové európske nariadenie o ochrane údajov GDPR.

 

Ponuka riešenia GDPR od spoločnosti SecTec

Spoločnosť SecTec, a.s. ponúka komplexné riešenie GDPR, vrátane zmapovania súčasnej situácie, rozdielovej analýzy, návrhu implementácie opatrení na zosúladenie s nariadením GDPR, ako aj samotnú implementáciu IT riešení.

 

Úrovne GDPR auditu

1. Základné posúdenie GDPR

Cieľ: urobiť základné zhodnotenie súladu aktuálnych opatrení v organizácii voči požiadavkám GDPR nariadenia. V rámci tohto posúdenia budú urobené základné interview a bude preštudovaná dokumentácia, týkajúca sa oblasti ochrany osobných údajov, ktorú má organizácia spracovanú.

Predmetom posúdenia je okrem iného:

  • existencia definovaných informačných systémov spracúvajúcich OÚ vrátane všetkých charakteristík (účel, právny základ, 3. strany, sprostredkovatelia a pod.),
  • postupy spracúvania OÚ,
  • procesy komunikácie s Úradom na ochranu osobných údajov SR a s dotknutými osobami,
  • cezhraničný prenos osobných údajov.

Výstup: krátka správa, vyhodnocujúca aktuálny stav nastavených opatrení v organizácii voči základným požiadavkami nariadenia GDPR a návrh postupných krokov, potrebných na zosúladenie.

2. Posúdenie GDPR z pohľadu legislatívnych požiadaviek

Cieľ: urobiť podrobné zhodnotenie súladu aktuálnych opatrení v organizácii voči požiadavkám GDPR nariadenia a nového zákona o ochrane osobných údajov. V rámci tohto posúdenia budú uskutočnené interview naprieč organizáciou a bude podrobne preštudovaná dokumentácia, týkajúca sa oblasti ochrany osobných údajov, ktorú má organizácia spracovanú.

Predmetom posúdenia je okrem iného:

  • existencia definovaných informačných systémov spracúvajúcich OÚ vrátane všetkých charakteristík (účel, právny základ, 3. strany, sprostredkovatelia a pod.),
  • postupy spracúvania OÚ,
  • zmluvné ujednania so sprostredkovateľmi,
  • procesy komunikácie s Úradom na ochranu osobných údajov SR a s dotknutými osobami,
  • cezhraničný prenos osobných údajov.

Výstup: správa, vyhodnocujúca aktuálny stav nastavených opatrení v organizácii voči základným požiadavkami nariadenia GDPR a zákona o ochrane osobných údajov a podrobný návrh postupných krokov, potrebných na zosúladenie.

3. Komplexné posúdenie GDPR vrátane návrhov technického riešenia

Cieľ: urobiť komplexné zhodnotenie súladu aktuálnych opatrení v organizácii voči požiadavkám GDPR nariadenia a nového zákona o ochrane osobných údajov. V rámci tohto posúdenia budú uskutočnené interview naprieč organizáciou a bude podrobne preštudovaná dokumentácia, týkajúca sa oblasti ochrany osobných údajov, ktorú má organizácia spracovanú.

Predmetom posúdenia je okrem iného:

  • existencia definovaných informačných systémov spracúvajúcich OÚ vrátane všetkých charakteristík (účel, právny základ, 3. strany, sprostredkovatelia a pod.),
  • postupy spracúvania OÚ,
  • zmluvné ujednania so sprostredkovateľmi,
  • procesy komunikácie s Úradom na ochranu osobných údajov SR a s dotknutými osobami,
  • cezhraničný prenos osobných údajov.

 

Výstup: podrobná správa, vyhodnocujúca aktuálny stav nastavených opatrení v organizácii voči základným požiadavkami nariadenia GDPR a zákona o ochrane osobných údajov, návrh informačných systémov spracúvajúcich ochranu osobných údajov a podrobný návrh postupných krokov, potrebných na zosúladenie. Správa tiež bude riešiť aj návrh technických prostriedkov, ktoré budú podporovať požiadavky nariadenia GDPR.

V prípade Vášho záujmu o vypracovanie ponuky nás prosím kontaktujte na gdpr@sectec.sk

Otázky a odpovede k GDPR

- Čo znamená GDPR?

Nariadenie EURÓPSKEHO PARLAMENTU A RADY 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, tzv. GDPR (z anglického General Data Protection Regulation), je všeobecným nariadením týkajúcim sa ochrany údajov. Nahrádza a ruší predchádzajúcu smernicu 95/46/ES.

Nariadenie o GDPR bolo schválené 27. apríla 2016, do platnosti vstúpilo vydaním vo vestníku EU dňa 25. mája 2016, pričom plynie 2-ročné prechodné obdobie. To v praxi znamená, že prevádzkovatelia majú obmedzený čas na prípravu zosúladenia s týmto nariadením. Po uplynutí prechodného obdobia totižto môžu byť za jeho nedodržanie sankcionovaný, pričom pokuta nie je malá. To je zároveň jedna z najväčších zmien oproti predchádzajúcej smernici – pokuta môže dosiahnuť výšku až 20 miliónov EUR alebo 4% z obratu firmy – pričom platí vyššia suma.

Zároveň rozširuje územnú pôsobnosť nielen na krajiny Európskej únie, ale týka sa zároveň aj prevádzkovateľov mimo EÚ, ktorí ponúkajú tovary alebo služby dotknutým osobám v rámci EÚ.

Nariadenie GDPR upravuje požiadavku vymenovania  zodpovednej osoby (tiež označovaná výrazom DPO - Data Protection Officer). Funkciu DPO musia zaviesť prevádzkovatelia, ktorí spracovávajú veľký rozsah údajov, ako aj prevádzkovatelia v oblasti verejnej správy, bez ohľadu na rozsah údajov.

 

- Čo všetko sú osobné údaje?

Osobným údajom sú akékoľvek informácie v akejkoľvek podobe (papier, elektronické dáta, zvukový/obrazový záznam) jednoznačne identifikujúci fyzickú osobu a informácie o tejto osobe. Špeciálnu pozornosť treba venovať tzv. osobitnej kategórii osobných údajov, ako sú zdravotné informácie, informácie o vierovyznaní, politickej príslušnosti, sexuálnej orientácii a podobne. Podobný štatút, ako osobitná kategória osobných údajov má napríklad rodné číslo.

 

- Koho sa GDPR týka?

Nariadenie sa týka všetkých prevádzkovateľov, ktorí spracúvajú osobné údaje, príp. sprostredkovateľov, ktorí ich spracúvajú v mene prevádzkovateľa. Už len spracúvanie osobných údajov zamestnancov, či  vyplácanie odmien konateľovi je spracúvaním osobných údajov.

Spracúvanie osobných údajov zahŕňa v podstate akýkoľvek prístup k osobných údajov . Patria sem operácie s osobnými údajmi, ako sú napr. získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Nariadenie GDPR sa týka spracúvania osobných údajov v rámci všetkých činností prevádzkovateľov alebo sprostredkovateľov v EÚ, bez ohľadu na to, či je samotné spracúvanie vykonávané v EÚ alebo nie. Zároveň sa nariadenie vzťahuje aj na prevádzkovateľov a sprostredkovateľov so sídlom mimo EÚ, pokiaľ táto činnosť súvisí s ponukou tovarov alebo služieb osobám v EÚ.

 

- Aké oblasti GDPR ovplyvňuje?

Implementácia nariadenia GDPR má dopad na rôzne oblasti fungovania spoločností. Najväčší vplyv má na oblasť IT, bezpečnosť, finančné, obchodné, marketingové, personálne oddelenie, ako aj oblasť legislatívy a logistiky.

 

- Koľko trvá implementácia GDPR?

Táto otázka závisí od viacero faktorov. Primárne je dôležité vedieť, do akej miery je spoločnosť a jej procesy v súlade s aktuálne platnou legislatívou SR, najmä s aktuálne platým Zákonom č. 122/2013 Z.z. o ochrane osobných údajov (ďalej len ZoOOÚ). Podstatné je vedieť, či existuje v spoločnosti vypracovaný a implementovaný bezpečnostný projekt, v akom rozsahu, kto všetko v rámci spoločnosti vstupuje do procesu ochrany osobných údajov, či má spoločnosť určenú zodpovednú osobu podľa ZoOOÚ. V neposlednom rade dĺžku implementácie ovplyvňuje veľkosť spoločnosti a množstvo, resp. rozsah spracúvaných osobných údajov. Veľmi podstatnou a časovo náročnou je implementácia technických riešení, ako  napr. systému prenosu osobných údajov, zaznamenávanie bezpečnostných incidentov a identifikácie prípadných únikov osobných údajov, či likvidácie OÚ z jednotlivých aplikácií.

V princípe však možno konštatovať, že čím skôr celý proces (vrátane analytickej a implementačnej časti) naštartujete, je logicky väčšia pravdepodobnosť, že na požiadavky nariadenia GDPR budete pripravení.

 

- Aká je výška pokuty za nedodržanie GDPR?

Pokuta za nedodržanie nariadenia je až do výšky 20 miliónov EUR alebo 4% z celosvetového obratu firmy. Pritom platí, že v prípade porušenia nariadenia je uložená vyššia z oboch súm.

Takáto výška pokuty môže byť uložená bez ohľadu na veľkosť spoločnosti, čo znamená, že pre firmy s niekoľkými zamestnancami to môže byť až likvidačné. Zároveň pre veľké spoločnosti, ktorých obrat dosahuje miliardy EUR, môže byť takáto pokuta neúmerne vysoká.

Výška pokuty (a rozhodnutie o udelení maximálnej úrovne) teda nie je ovplyvnená veľkosťou firmy, ale faktormi, ako sú: dĺžka porušovania, povaha, závažnosť porušenia, počet poškodených občanov, kroky, ktoré spracovateľ vykonal s cieľom zmierniť dopady porušenia a pod.

 

- Kedy a ako mám určiť DPO a aká je jeho úloha?

Funkciu tzv. Data Protection Officera (DPO), čiže Zodpovednej osoby, je povinnosť určiť v prípadoch, ak:

a. spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu (ide napr. o údaje o rasovom alebo etnickom pôvode, politických názoroch, náboženskom alebo filozofickom presvedčení, zdraví, sexuálnej orientácii apod.)

Rozhodnutie o tom, kedy je takáto činnosť posudzovaná ako spracúvanie vo veľkom rozsahu, je na Úrade na ochranu osobných údajov SR.

Bez ohľadu na to, či nariadenie GDPR požaduje vymenovanie DPO, je vhodné takúto osobu mať vymenovanú. Problematiku ochrany osobných údajov je potrebné riešiť , taktiež v prípade bezpečnostného incidentu je potrebné určiť, či a aký má daný incident dopad na oblasť ochrany osobných údajov. Všetky tieto činnosti by mala pokrývať osoba znalá problematiky ochrany osobných údajov.

Funkcia DPO môže byť realizovaná interným zamestnancom alebo externe. V súčasnej dobe nie je známa požiadavka na vzdelanie alebo povinnosť absolvovať skúšky, ako podmienka výkonu DPO.

 

- Kedy je možné požiadať o vymazanie osobných údajov?

Na základe požiadania dotknutej osoby je prevádzkovateľ povinný vymazať osobné údaje, a to bez zbytočného odkladu.

Dotknutá osoba môže o vymazanie požiadať v prípadoch, ak:

a. osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;

b. ak neexistuje iný právny základ pre spracúvanie ako je jej poskytnutý súhlas so spracúvaním osobných údajov;

c. dotknutá osoba namieta voči spracúvaniu osobných údajov na účely vo verejnom záujme alebo na účely priameho marketingu;

d. osobné údaje sa spracúvali nezákonne;

e. osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva EÚ alebo práva členského štátu, ktorému prevádzkovateľ podlieha;

f. osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti adresovanou dieťaťu.

 

- Čo znamená pseudonymizácia a anonymizácia?

Pseudonymizácia osobných údajov znamená, že osobné údaje sú spracúvané tak, že ich nie je možné priradiť konkrétnej osobe, bez toho, aby k tomu boli použité dodatočné informácie. Tie však je nevyhnutné uchovávať oddelene. Príkladom môže byť zber osobných údajov ako dátum narodenia, vek, pohlavie apod., pričom nie sú tieto údaje priradené napr. ku konkrétnym menám – na to by bol potrebný identifikátor / kľúč, ktorý je však uložený oddelene od týchto osobných údajov.

Anonymizácia osobných údajov znamená také spracúvanie osobných údajov, pri ktorom nie je nijakým spôsobom možné identifikovať konkrétnu osobu, a to ani použitím externých identifikátorov. Osobné údaje sú tak použité najčastejšie ako štatistická skupina apod.

Nariadenie GDPR sa nevzťahuje na anonymizované osobné údaje.

 

- Čo znamená 72-hodinová oznamovacia povinnosť v prípade narušenia bezpečnosti?

V prípade, ak dôjde k akémukoľvek porušeniu ochrany osobných údajov, každý prevádzkovateľ má povinnosť informovať o tejto skutočnosti dozorný orgán, a to najneskôr do 72 hodín po tom, ako sa o tejto skutočnosti dozvedel. V prípade nedodržania tejto lehoty musí pripojiť zdôvodnenie, prečo došlo k omeškaniu.

Pre zabezpečenie dodržania tejto lehoty existuje niekoľko vhodných riešení. Na určenie toho správneho pre vašu spoločnosť, prosím kontaktujte nás.

Ak ste nenašli hľadané odpovede medzi uvedenými otázkami alebo Vás zaujímajú detailnejšie informácie, pošlite nám e-mail na: gdpr@sectec.sk.

 

Zaujímavé stránky:

Aktuálne informácie k novele Zákona o ochrane osobných údajov: https://www.slov-lex.sk/legislativne-procesy/SK/LP/2017/453

Znenie nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov – GDPR: http://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32016R0679&from=SK

Prezentácie zo SecTec konferencie GDPR: https://www.sectec.sk/novinky/vzdelavanie/prezentacie-z-konfrerencie-gdpr

Komentáre