Image
13.11.2017 0 Comments

GDPR – ste pripravení na nové práva?

Ostáva už menej ako rok na to, aby sa firmy pripravili na účinnosť nového nariadenia na ochranu osobných údajov (GDPR). Organizácie, ktoré už s prípravou začali, zisťujú nové požiadavky na zmeny dokumentov, ale aj procesov a implementáciu nových technológií. Keďže požiadaviek GDPR je mnoho, zameriame sa v tomto článku na najdôležitejšie fakty v oblasti práv osôb a ako sa s nimi vysporiadať.

Podobne ako u ostatných požiadaviek GDPR, aj u práv subjektov údajov nemusia byť všetky časti relevantné pre každé spracovanie, ktoré vo firme máte (napríklad na dáta vo vašom CRM budú podliehať iným pravidlám, ako životopisy, ktoré zbierate od uchádzačov o zamestnanie). Preto odporúčame začať od analýzy aktuálneho stavu a poradiť sa s právnikmi alebo odborníkmi na ochranu dát.

Právo na informácie

Či už spracúvate osobné údaje svojich zamestnancov, zákazníkov alebo akýchkoľvek iných osôb, určite sa vás dotkne právo na informácie, ktorým sa zaoberá nariadenie na ochranu osobných údajov v článkoch 12 – 15. Osobám, o ktorých dáta zhromažďujete, musíte poskytnúť celú radu informácií o spracovaní, ako sú kontaktné údaje na správcu, účely spracovania, kto sa k dátam môže dostať a podobne. GDPR požaduje hlavne to, aby ste údaje uvádzali stručne a jasne – takže odporúčame riadiť sa pri ich spisovaní zdravým rozumom. Viac ako mnohostránkový právny dokument zaváži jednoduché znenie, ktoré bude pochopiteľné pre každého.

Viac ako do technických opatrení smeruje táto požiadavka na dokumentáciu. Dôležitou časťou aplikácie tohto práva však je, že ako organizácia musíte byť schopní poskytnúť kópiu spracovávaných osobných údajov. Keďže informačné systémy, ktoré sa vo firmách používajú, sú rozlične komplexné, častokrát táto požiadavka smeruje na ich dodávateľov. Mali by ste od nich požadovať, aby vám umožnili vyexportovať si údaje o jednej konkrétnej osobe dostatočne rýchlo na vyžiadanie.

Právo na opravu a výmaz

Ďalšie požiadavky GDPR smerujú na spracovanie presných a aktuálnych údajov. Každá osoba, ktorej osobné údaje spracovávate, má právo požiadať o opravu osobných údajov o nej, rovnako ako o zmazanie takých údajov, ktoré nie sú správne. V rámci tejto oblasti by ste mali nastaviť interné procesy tak, aby ste nespracovávali údaje, ktoré už nepotrebujete. Pre každé spracovanie to bude iná doba – napríklad údaje o zamestnancoch musíte zo zákona archivovať niekoľko rokov po zániku pracovného pomeru, ale výsledky prieskumu verejnej mienky nemusíte už v pôvodnom tvare po vypracovaní štatistiky potrebovať.

S požiadavkou na opravu informácií alebo výmaz vás však môže kontaktovať akýkoľvek subjekt údajov, a vy na ňu bez zbytočného odkladu zareagovať. Je dobré mať na pamäti to, že právo na výmaz nie je absolútne – akonáhle po vás spracovanie požaduje zákon (ako v príklade o archivácii údajoch o zamestnancoch), tieto dáta zmazať nemôžete. Podobne ako u exportu dát v prípade práva na informácie, aj táto požiadavka smeruje hlavne k  dodávateľom vašich systémov, aby ste boli schopní rýchlo dáta editovať alebo cielene vymazať.

Právo na obmedzenie spracovania a vznesenie námietky

Požiadavka na obmedzenie spracovania smeruje k situáciám, kedy napríklad reagujete na požiadavku na opravu osobných údajov, alebo na námietku. Túto námietku môže ktokoľvek vzniesť povedzme v prípade, že ho oslovujete kvôli priamemu marketingu – alebo kvôli tomu, že si myslí, že údaje spracovávate protiprávne. Akonáhle niečo podobné nastane, musíte byť schopní pozastaviť spracovanie (pokiaľ je to možné) do doby vyriešenia podnetu.

Právo na prenositeľnosť údajov

V prípade, že spracúvate osobné údaje automatizovaným spôsobom a na základe súhlasu alebo zmluvy, vzťahuje sa na vás ďalšia požiadavka GDPR, a síce možnosť uplatnenia práva na prenositeľnosť. Osoby, ktorých osobné údaje spracúvate, môžu požiadať o export osobných údajov, aby si ich preložili k inému správcovi. Vzniká tým jednoduchá cesta preniesť si osobné údaje napríklad od jedného poskytovateľa mobilných služieb k ďalšiemu. Pokiaľ sa na vás toto právo vzťahuje, tieto dáta ste povinní poskytnúť v bežne používanom, strojovo čitateľnom formáte.

Poradný orgán Európskej Únie, Article 29 Working Party (A29WP), vydal k tejto požiadavke odporúčanie s číslom 242. Odporúčania od A29WP sú síce právne nezáväzné, ale poskytujú praktické rady ako právne požiadavky technicky implementovať. V rámci technickej realizácie v tomto bode radí pripraviť export napríklad ako formát TIFF, CSV alebo XML.

Práva v kocke

Na aplikáciu práv vašich zamestnancov, zákazníkov alebo iných osôb je dobré pripraviť sa hlavne procesne a technicky. Na väčšinu požiadaviek musia byť pripravené hlavne vaše informačné systémy, v ktorých dáta spracovávate – aby vám boli schopné dáta o jednotlivcovi vyexportovať, upraviť, zmazať alebo jednoducho preniesť. Odporúčame začať od analýzy, aké spracovania vo firme vediete a následne si určiť, ktoré z požiadaviek sa na vás budú vzťahovať. Následne s vašim IT oddelením a dodávateľmi doladiť zvyšok.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Vírusový radar: Autori BlackEnergy rozšírili svoj kyberšpionážny arzenál o GreyEnergy

13.12.2018 13:52

Tvorcovia BlackEnergy, známi vysoko sofistikovanými kybernetickými útokmi, opäť rozšírili svoj arzenál. Analytici ESET VirusLabu totiž odhalili podskupinu GreyEnergy, ktorá sa zameriava na špionáž, sl ...

ITPro

Huawei Eco-Connect Europe 2018: AI, IoT a 5G prinesú Európe smart budúcnosť

13.12.2018 10:55

V talianskom Ríme sa 8. a 9. novembra 2018 uskutočnila výročná akcia Huawei Eco-Connect Europe, na ktorej spoločnosť Huawei predstavila svoju stratégiu Platform + Ecosystem, ktorá zobrazuje komplexný ...

ITPro

DMS naozaj pomáhajú

13.12.2018 10:44

V súvislosti s podnikovou informačnou architektúrou sa stále častejšie hovorí o tzv. systémoch DMS. Skratka DMS pochádza z anglického Document Management System a zastrešuje aplikácie, ktoré predstavu ...

q

Žiadne komentáre

Vyhľadávanie

OKI_122018

Najnovšie videá



PC forum button