GDPR: vyššia ochrana osobných údajov a nové povinnosti pre firmy

Čo je GDPR – OBSAH článku

1. Čo je GDPR?
2. Prečo je ochrana osobných údajov dôležitá?
4. GDPR a skartovače: Riziko sú aj papierové dokumenty
5. 4 tipy, ako sa pripraviť na GDPR
6. Informačný audit pomôže so splnením noriem GDPR
7. DPO (Data Protection Officer)
8. Ako vám môže Alza.sk pomôcť so splnením podmienok GDPR?
9. GDPR a ochrana tlačených dokumentov
10. Nech vás GDPR nezaskočí

Čo je GDPR?

GDPR (General Data Protection Regulation) je nová právna norma Európskej únie, ktorá nadobudla účinnosť už 25. mája 2018. Trošku krkolomný slovenský preklad skratky GDPR znie Všeobecné nariadenie o ochrane osobných údajov. Pri zlom zaobchádzaní s osobnými údajmi hrozí pokuta až do výšky 20 miliónov EUR alebo 4 % z ročného obratu firmy. Takto vysoká suma môže byť likvidačná aj pre zabehnutú firmu s dobrým cashflow.

Prečo je ochrana osobných údajov dôležitá?

V dnešnej dobe, keď celý rad vašich osobných údajov leží na serveroch mnohých poskytovateľov služieb, je nutné urobiť vo všetkom poriadok. Hlavným zmyslom GDPR je umožniť ľuďom (zákazníkom) kontrolovať svoje dáta. Ak teda prevádzkujete napríklad menší e-shop s predajom kávy, bude potrebné aj vo vašom prípade urobiť celý rad zmien v zaobchádzaní s údajmi zákazníkov.

Čo sú osobné dáta z pohľadu GDPR?

• Meno, email, vek, pohlavie, adresa
• IP adresa zákazníka vrátane kompletného logovania pohybu po webe (strávený čas, typ prehliadača, vyplnené objednávkové formuláre a podobne)

Váš zákazník totiž najprv musí súhlasiť s ukladaním týchto dát, ale neskôr môže kedykoľvek požiadať o ich kompletné zmazanie, prípadne o export k inému poskytovateľovi služieb. Z toho je zrejmé, že aj relatívne malý súkromník sa bude musieť postarať o celý rad technických záležitostí a zmeniť niektoré procesy. Napríklad bude potrebné vykonať aktualizáciu CMS (Content Management System), na ktorom beží predajný portál. Prípadne nakúpiť nové IT vybavenie vrátane moderného softvéru.

GDPR a skartovače: Riziko sú aj papierové dokumenty

Pri analýze rizík s ohľadom na GDPR je potrebné vnímať papierové dokumenty ako mimoriadne riziko. Neuzamknuté a nezabezpečené citlivé papierové dokumenty s obsahom osobných alebo zdravotných údajov zamestnancov, prípadne klientov môžu spôsobiť úplne zhodný incident v oblasti GDPR ako elektronický, obrazový alebo zvukový únik dát.

Pracovné povinnosti a zodpovednosti zamestnancov za akékoľvek údaje, ktoré firma spracováva, sú tu kľúčové. Firma musí pre každého zamestnanca stanoviť jasné pravidlá správneho nakladania s elektronickými aj tlačenými údajmi, ktoré má firma v držbe. Takéto opatrenia uvedú v praxi požiadavky GDPR týkajúce sa nakladania s údajmi. Medzi tieto pravidlá môže patriť napríklad jasné stanovenie toho, ako sa smú používať tlačené dokumenty obsahujúce citlivé informácie, alebo správneho procesu ich skartovania podľa toho, ako citlivé sú údaje, ktoré dokument obsahuje.

Prehľad najlepších skartovačiek

Správne a poctivé skartovanie patrí medzi jednu zo sledovaných oblastí z pohľadu GDPR. Vďaka obstaraniu výkonnej a kvalitnej skartovačky ušetríte zodpovedným zamestnancom čas, ktorý môžu venovať riešeniu iných úloh. V závislosti od veľkosti prostredia možno vhodnou voľbou skartovacieho stroja ušetriť aj nejaký ten pracovný úväzok.

Hama Premium X12CD Výkonná skartovačka Hama Premium X12CD je nenahraditeľným pomocníkom skôr do menšej kancelárie. Ide o kompaktný skartovač s krížovým rezom, ktorý hravo dokáže skartovať až 12 listov naraz. Zvládne však aj bezpečnú likvidáciu nosičov CD, DVD alebo platobných kariet. 68,90 €

Hama Professional M12CD Do náročnejšej kancelárie potom môžeme odporučiť najvyšší model Hama Professional M12CD s maximálnym stupňom utajenia P-5 (veľkosť výsledného prúžku je do 30 mm2). Opäť zvládne skartovať až 12 listov naraz a poradí si s mnohými rôznymi digitálnymi nosičmi. Medzi výhody patrí kôš s objemom 28 litrov a najmä infračervený senzor na automatické zapnutie a vypnutie skartácie. 180,90 €

Peach PS500-70 Komfortný kancelársky skartovač dokáže naraz skartovať až 14 klasických listov papiera. Skartovač si ľahko poradí aj s likvidáciou CD/DVD médií, vizitiek či platobných kariet. Nechýba ani funkcia automatického vypnutia pri naplnení koša či spätný chod, ktorý využijete v prípade, že sa skartovaný objekt zasekne. 137,90 €

4 tipy, ako sa pripraviť na GDPR

Štyri jednoduché kroky, ktoré vám pomôžu zabrániť úniku citlivých dát pomocou nástrojov Microsoft Bussiness.

Tip 1 – Šifrujte notebook, mobilný telefón alebo tablet

Na každom notebooku/mobile/PC sa nachádza mnoho osobných alebo citlivých dát. Ak zariadenie stratíte alebo vám ho ukradnú, smernica GDPR požaduje nahlásiť únik osobných údajov dozornému úradu a tiež osobám, ktorých sa únik týkal. Keď ale dáta zašifrujete, a tak k nim znemožníte prístup, potom v prípade straty alebo krádeže nemusíte stratu zariadenia hlásiť. Šifrovaním si teda ušetríte veľa starostí.

Tip 2 – Zabezpečte firemný email a dokumenty

Veľké množstvo osobných a citlivých údajov si vymieňame prostredníctvom dokumentov a emailov – objednávky, zmluvy, tabuľky s osobnými dátami, životopisy atď. Preto je potrebné dokumenty a poštu plne zabezpečiť proti úniku citlivých dát. Ak zavediete opatrenie, ako je zabezpečenie prístupu, dvojfaktorová autentizácia, šifrovanie obsahu pošty a komplexné zabezpečenie poštových serverov, zásadne znížite riziko úniku osobných a citlivých dát a vyhnete sa bezpečnostným incidentom, ktoré je podľa GDPR potreba hlásiť. Microsoft Office Bussiness Premium vám s tým pomôže.

Tip 3 – Pripravte sa na žiadosť o odstránenie osobných údajov

S GDPR prichádza právo na vymazanie osobných údajov bez zbytočného odkladu, ak neexistuje právny dôvod na ich ďalšie spracovanie. Bežná prax ukazuje, že osobné údaje sú uložené na mnohých miestach (pošta, dokumenty, CRM, ERP atď.). Firmy preto potrebujú nástroj, ktorý im pomôže túto požiadavku splniť. Vďaka funkcii eDiscovery, ktorá je prítomná aj v základnej verzii Office 365 (Business Essentials) je prehľadávanie všetkých firemných dokumentov aj pošty veľmi jednoduché. Ľahko tak nájdete všetky výskyty osobných údajov konkrétneho klienta, ktoré sú určené na vymazanie.

Tip 4 – Aktualizujte všetky programy

GDPR požaduje, aby každá firma maximálne zabezpečila svoje systémy a aplikácie s osobnými informáciami. Iba aktualizované systémy môžu byť bezpečné vďaka bezpečnostným updatom. Vždy teda aktualizujte na najnovšiu verziu. Microsoft svoj Windows pravidelne aktualizuje, a to najmä v oblasti bezpečnosti. Máte tak istotu, že budete pred bezpečnostnými hrozbami dobre a včas chránení.

Informačný audit pomôže so splnením noriem GDPR

Rad spoločností v súčasnosti významnú časť pravidiel vyplývajúcich z GDPR plní. Už dnes totiž rad povinností nariaďuje zákon o ochrane osobných údajov, prípadne ISO certifikácie. Takéto subjekty majú výhodu a implementácia nariadenia GDPR pre nich bude celkovo jednoduchšia.

Čo ale tie spoločnosti, na ktoré sa súčasná úprava nevzťahuje? V prvom rade by mali požiadať niektorú z poradenských firiem o vykonaní informačného auditu. Odborníci prejdú procesy vo vašej spoločnosti a identifikujú slabé, respektíve problematické miesta pri zaobchádzaní s používateľskými dátami, ktoré sú v rozpore s GDPR.

Pri realizácii zmien je potrebné dbať na minimalizáciu negatívnych dopadov na zákazníkov. Ani to však úplne nepôjde, prinajmenšom totiž bude potrebné osloviť ich so žiadosťou o drobné administratívne úkony. Príkladom môže byť napríklad nutnosť vyžiadať si podpis aktualizovaného súhlasu so spracovaním osobných údajov.

DPO (Data Protection Officer)

Chcete naštartovať svoju pracovnú kariéru úplne novým smerom? Spoločne so zavedením GDPR vzniká úplne nová profesia Data Protection Officer – poverenec na ochranu osobných údajov. Môžeme vám garantovať, že okrem obrovskom dopyte na pracovnom trhu na vás čaká vysoký plat, ale aj pomerne vysoká miera zodpovednosti. Aké bude vaše poslanie? Budete zabezpečovať, že spoločnosť nakladá so všetkými osobnými údajmi (zákazníkov, zamestnancov, partnerov atď.) úplne v súlade s nariadením GDPR. Náplň práce je teda vhodná pre bezpečnostných IT špecialistov s rozšírenou znalosťou práva. Na dosiahnutie statusu DPO je nutné zložiť prísnu certifikačnú skúšku.

V ktorých prípadoch je nutné zriadiť funkciu DPO?

• Spracovanie osobných údajov vykonáva orgán verejnej moci alebo verejný subjekt
• Ak vykonávate rozsiahle spracovanie osobných údajov (nemocnice, banky, reklamné agentúry, mobilní operátori, vernostné programy rôznych obchodov a podobne)
• Hlavnou činnosťou je rozsiahle spracovanie citlivých údajov (údaje o rasovom pôvode, politických názoroch, náboženstve alebo spracovaní genetických alebo biometrických údajov, rozsudky v trestných veciach)

Poverenec DPO musí byť v rámci spoločnosti relatívne nezávislá osoba bez možnosti akéhokoľvek konfliktu záujmov. Nemôžete teda napríklad túto funkciu odovzdať šéfovi IT oddelenia, ktorý by v podstate kontroloval sám seba. Samozrejme, nikde sa nepíše, že musí ísť o interného zamestnanca. Povereníka DPO vám veľa firiem ponúkne ako externú službu, čo môže byť do určitého množstva spracovávaných dát aj výhodnejšie.

Ako vám môže Alza.sk pomôcť so splnením podmienok GDPR?

Naplnenie podmienok GDPR môže byť pre niektoré firmy pomerne nákladnou záležitosťou. Bude napríklad potrebné opustiť zastarané softvérové vybavenie, ktoré nespĺňa sprísnené požiadavky GDPR na ochranu osobných údajov. Úplne mimo sú počítače s Windows XP alebo Windows Vista. Microsoft už ukončil akúkoľvek podporu a ich ďalším používaním sa vystavujete hrozbe mastnej pokuty. Rovnako tak musíte opustiť starý dobrý kancelársky balík Microsoft Office 2007. Podpora skončila 10. 10. 2017. Zastaraný softvér nie je navyše ani pod ochranou antivírusových programov, ktoré síce odhalia niektoré hrozby včas, ale určite neslúžia ako záplata na deravú aplikáciu.

Na bezpečné uloženie osobných dát budú potrebné aj zmeny na strane vašich firemných serverov, a pokiaľ ešte citlivé dáta nešifruje, bude na to potrebné pristúpiť. Možno vám práve preto príde vhod profesionálne dátové úložisko typu NAS, na ktorom je nasadenie šifrovania pomerne jednoduchou záležitosťou.

GDPR a ochrana tlačených dokumentov

Ak ste si do teraz mysleli, že GDPR sa vzťahuje iba na ochranu osobných údajov vo virtuálnom svete, musíme vás vyviesť z omylu. Akékoľvek tlačiarne alebo multifunkcie by mali byť na splnenie prísnych podmienok GDPR správne nastavené v súlade s vnútrofiremnými procesmi. Typické riešenie spočíva v používaní zabezpečenej tlače len po autentizácii pomocou osobného PIN kódu, prípadne priamo cez čipovú kartu. Po vytlačení dokumentu však nastane kľúčová otázka – kam dokument s citlivými údajmi bezpečne uložiť?

V ten okamih bude nutné použiť certifikované trezory vyrobené v súlade s GDPR. Bezpečné zaobchádzanie s vytlačenými dokumentmi teda predstavuje ďalší zásadný bod, ktorému sa musia starostlivo venovať nielen veľké nemocnice, ale aj obecný úrad či škola vo vašom meste. Odporúčame zvážiť zaobstaranie nábytkového trezoru s bezpečnostným zámkom. Moderný kancelársky trezor má šikovne riešené vnútorné usporiadanie vrátane oddelených schránok na uloženie dôležitých spisov.

Nech vás GDPR nezaskočí

GDPR je revolúcia v zaobchádzaní s osobnými dátami. Celý rad spoločností má už z mnohých dôvodov nakročené k bezproblémovému splneniu všetkých noriem. V prípade tých ostatných možno očakávať nemalé výdavky spojené s implementáciou nových procesov. A pretože dátum 25. 5. 2018 je už za nami, je potrebné mať všetko v poriadku.