Legislatíva GDPR prišla v platnosť 25. mája 2018. Táto skratka znamená General Data Protection Regulation a má za úlohu ochraňovať osobné údaje. V tomto článku si v 10 bodoch povieme, na čo treba dbať.
1. GDPR sa týka všetkých firiem
Všetky firmy môžeme definovať ako subjekty podnikateľského charakteru, ktoré nakladajú s osobnými dátami svojich zákazníkov alebo klientov. GDPR legislatíva má za úlohu ochraňovať osobné informácie občanov EÚ a dokonca aj mimo hraníc EÚ. Táto legislatíva sa totiž vzťahuje aj na spoločnosti, ktoré spracúvajú osobné údaje občanov Európskej únie so sídlom mimo EÚ.
GDPR sa dotýka dokonca aj sprostredkovateľov ako sú advokáti, účtovníci alebo právnici.
2. Osobné údaje
Osobný údaj môžeme charakterizovať ako informáciu slúžiacu na identifikáciu danej osoby. GDPR dokonca chápe osobný údaj aj ako ekonomický, sociálny alebo psychický stav. Taktiež môžeme považovať za osobný údaj aj genetickú informáciu alebo cookies, prípadne IP adresu.
3. Súhlas na spracovanie osobných údajov
Na dodržiavanie legislatívy GDPR je potrebné, aby človek dal súhlas na spracovanie osobných údajov. Osoba, ktorá takýto súhlas dáva, musí byť upovedomená o obsahu. V prípade nesúhlasu nemôže podnik s osobnými údajmi danej osoby narábať. Automatizované spracovanie osobných dát podľa GDPR samozrejme nie je prípustné.
Dôležité je tiež to, aby podniky vedeli daný súhlas vydokladovať. Spoločnosť musí mať prehľad o tom, na aké účely dáta používa a môže s nimi nakladať iba v rozsahu, ku ktorému dal človek súhlas. Neodôvodnené osobné údaje treba z databázy odstrániť.
4. Data protection officer alebo aj DPO
Táto osoba má na starosť v podniku ochraňovať osobné informácie. Údaje osobného charakteru potrebujú dostatočné sledovanie, ako aj dopĺňanie nových informácií. Data protection officer (DPO) je rovnako potrebný v malej aj veľkej firme bez ohľadu na počet zamestnancov.
5. Ako postupovať pri odcudzení osobných dát?
Hackerský útok, krádež alebo únik dát je potrebné nahlásiť Úradu pre ochranu osobných údajov a to do 72 hodín od uvedomenia straty. Spoločnosť, ktorej boli odcudzené dáta, má za úlohu podniknúť kroky na zistenie úniku.
6. Privacy impact assessment alebo právo na výmaz
PIA alebo Privacy Impact Assessement má za úlohu vyhodnocovať možnosti dopadov na súkromie ľudí. Osoba, ktorá má za úlohu spracovávanie osobných dát (spomínaný DPO), vyhodnocuje dopady na súkromie osôb, ktoré poskytli svoje osobné údaje. Pred začatím spracovávania osobných údajov by mala spoločnosť vytvoriť procesy na minimalizovanie narušenia súkromia.
7. Vymazanie osobných údajov
Spoločnosť alebo podnik nesmie uchovávať údaje, ktoré nepoužíva pri svojej činnosti. Osobné údaje môže podnik tiež používať len na tie účely, s ktorým súhlasila osoba, ktorá poskytla osobné dáta. Užívateľ, ktorý poskytol osobné údaje, môže tiež požiadať o výmaz. Spoločnosť vyhodnotí žiadosť a následne spraví všetky kroky pre vymazanie osobných dát zo svojich úložísk.
8. IT technológie ako nástroj ochrany súkromia
IT technológie nechýbajú v žiadnom podniku alebo spoločnosti. Pri výbere jednotlivých technológií, ktoré budú pracovať s osobnými údajmi, je však dôležité dbať na to, aby spĺňali isté parametre na ochranu súkromia.
9. Rovnaké pravidlá pre každého
Štát mal možnosť regulovať, ako bude pristupovať k porušeniam ochrany osobných údajov a zadefinoval jasné pravidlá, ktoré sa uplatňujú rovnako na všetky subjekty, ktoré spadajú pod nariadenia GDPR.
10. Vyvarujte sa sankciám
Pokuta hrozí pre každého, kto poruší legislatívu GDPR. Sankcie sa môžu vyšplhať až do výšky 20 miliónov eur alebo 4% ročného obratu podniku. Vysoké pokuty sú preventívnym nástrojom pred porušovaním legislatívy.