Image
13.11.2017 0 Comments

GDPR – ste pripravení na nové práva?

Ostáva už menej ako rok na to, aby sa firmy pripravili na účinnosť nového nariadenia na ochranu osobných údajov (GDPR). Organizácie, ktoré už s prípravou začali, zisťujú nové požiadavky na zmeny dokumentov, ale aj procesov a implementáciu nových technológií. Keďže požiadaviek GDPR je mnoho, zameriame sa v tomto článku na najdôležitejšie fakty v oblasti práv osôb a ako sa s nimi vysporiadať.

Podobne ako u ostatných požiadaviek GDPR, aj u práv subjektov údajov nemusia byť všetky časti relevantné pre každé spracovanie, ktoré vo firme máte (napríklad na dáta vo vašom CRM budú podliehať iným pravidlám, ako životopisy, ktoré zbierate od uchádzačov o zamestnanie). Preto odporúčame začať od analýzy aktuálneho stavu a poradiť sa s právnikmi alebo odborníkmi na ochranu dát.

Právo na informácie

Či už spracúvate osobné údaje svojich zamestnancov, zákazníkov alebo akýchkoľvek iných osôb, určite sa vás dotkne právo na informácie, ktorým sa zaoberá nariadenie na ochranu osobných údajov v článkoch 12 – 15. Osobám, o ktorých dáta zhromažďujete, musíte poskytnúť celú radu informácií o spracovaní, ako sú kontaktné údaje na správcu, účely spracovania, kto sa k dátam môže dostať a podobne. GDPR požaduje hlavne to, aby ste údaje uvádzali stručne a jasne – takže odporúčame riadiť sa pri ich spisovaní zdravým rozumom. Viac ako mnohostránkový právny dokument zaváži jednoduché znenie, ktoré bude pochopiteľné pre každého.

Viac ako do technických opatrení smeruje táto požiadavka na dokumentáciu. Dôležitou časťou aplikácie tohto práva však je, že ako organizácia musíte byť schopní poskytnúť kópiu spracovávaných osobných údajov. Keďže informačné systémy, ktoré sa vo firmách používajú, sú rozlične komplexné, častokrát táto požiadavka smeruje na ich dodávateľov. Mali by ste od nich požadovať, aby vám umožnili vyexportovať si údaje o jednej konkrétnej osobe dostatočne rýchlo na vyžiadanie.

Právo na opravu a výmaz

Ďalšie požiadavky GDPR smerujú na spracovanie presných a aktuálnych údajov. Každá osoba, ktorej osobné údaje spracovávate, má právo požiadať o opravu osobných údajov o nej, rovnako ako o zmazanie takých údajov, ktoré nie sú správne. V rámci tejto oblasti by ste mali nastaviť interné procesy tak, aby ste nespracovávali údaje, ktoré už nepotrebujete. Pre každé spracovanie to bude iná doba – napríklad údaje o zamestnancoch musíte zo zákona archivovať niekoľko rokov po zániku pracovného pomeru, ale výsledky prieskumu verejnej mienky nemusíte už v pôvodnom tvare po vypracovaní štatistiky potrebovať.

S požiadavkou na opravu informácií alebo výmaz vás však môže kontaktovať akýkoľvek subjekt údajov, a vy na ňu bez zbytočného odkladu zareagovať. Je dobré mať na pamäti to, že právo na výmaz nie je absolútne – akonáhle po vás spracovanie požaduje zákon (ako v príklade o archivácii údajoch o zamestnancoch), tieto dáta zmazať nemôžete. Podobne ako u exportu dát v prípade práva na informácie, aj táto požiadavka smeruje hlavne k  dodávateľom vašich systémov, aby ste boli schopní rýchlo dáta editovať alebo cielene vymazať.

Právo na obmedzenie spracovania a vznesenie námietky

Požiadavka na obmedzenie spracovania smeruje k situáciám, kedy napríklad reagujete na požiadavku na opravu osobných údajov, alebo na námietku. Túto námietku môže ktokoľvek vzniesť povedzme v prípade, že ho oslovujete kvôli priamemu marketingu – alebo kvôli tomu, že si myslí, že údaje spracovávate protiprávne. Akonáhle niečo podobné nastane, musíte byť schopní pozastaviť spracovanie (pokiaľ je to možné) do doby vyriešenia podnetu.

Právo na prenositeľnosť údajov

V prípade, že spracúvate osobné údaje automatizovaným spôsobom a na základe súhlasu alebo zmluvy, vzťahuje sa na vás ďalšia požiadavka GDPR, a síce možnosť uplatnenia práva na prenositeľnosť. Osoby, ktorých osobné údaje spracúvate, môžu požiadať o export osobných údajov, aby si ich preložili k inému správcovi. Vzniká tým jednoduchá cesta preniesť si osobné údaje napríklad od jedného poskytovateľa mobilných služieb k ďalšiemu. Pokiaľ sa na vás toto právo vzťahuje, tieto dáta ste povinní poskytnúť v bežne používanom, strojovo čitateľnom formáte.

Poradný orgán Európskej Únie, Article 29 Working Party (A29WP), vydal k tejto požiadavke odporúčanie s číslom 242. Odporúčania od A29WP sú síce právne nezáväzné, ale poskytujú praktické rady ako právne požiadavky technicky implementovať. V rámci technickej realizácie v tomto bode radí pripraviť export napríklad ako formát TIFF, CSV alebo XML.

Práva v kocke

Na aplikáciu práv vašich zamestnancov, zákazníkov alebo iných osôb je dobré pripraviť sa hlavne procesne a technicky. Na väčšinu požiadaviek musia byť pripravené hlavne vaše informačné systémy, v ktorých dáta spracovávate – aby vám boli schopné dáta o jednotlivcovi vyexportovať, upraviť, zmazať alebo jednoducho preniesť. Odporúčame začať od analýzy, aké spracovania vo firme vediete a následne si určiť, ktoré z požiadaviek sa na vás budú vzťahovať. Následne s vašim IT oddelením a dodávateľmi doladiť zvyšok.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 : Nové verzie unikátnych distribúcií

19.02.2018 00:10

V poslednom mesiaci roku 2017 boli vydané nové verzie linuxových distribúcií ReactOS a Puppy. Ide o dve unikátne distribúcie vymykajúce sa zo štandardu, ktorý predstavujú ostatné bežne používané distr ...

ITPro

Linux súkromne i pracovne v2.0 (25. časť): Okruhy siete Tor

12.12.2017 14:22

V tejto časti seriálu sa poslednýkrát vrátime k sieti Tor, pričom detailnejšie opíšeme spôsob fungovania jej okruhov. Na začiatku článku vám v stručnosti predstavíme postup vytvárania okruhov. Následn ...

ITPro 2

Geografické informačné systémy a virtuálna realita

11.12.2017 14:14

Geografický informačný systém (GIS), počítačový systém pracujúci s údajmi opisujúcimi miesta na zemskom povrchu, je už zo svojej podstaty predurčený na využitie nástrojmi virtuálnej reality. Virtuálna ...

Žiadne komentáre

Vyhľadávanie

PC forum button

Najnovšie videá