Image
13.11.2017 0 Comments

GDPR – ste pripravení na nové práva?

Ostáva už menej ako rok na to, aby sa firmy pripravili na účinnosť nového nariadenia na ochranu osobných údajov (GDPR). Organizácie, ktoré už s prípravou začali, zisťujú nové požiadavky na zmeny dokumentov, ale aj procesov a implementáciu nových technológií. Keďže požiadaviek GDPR je mnoho, zameriame sa v tomto článku na najdôležitejšie fakty v oblasti práv osôb a ako sa s nimi vysporiadať.

Podobne ako u ostatných požiadaviek GDPR, aj u práv subjektov údajov nemusia byť všetky časti relevantné pre každé spracovanie, ktoré vo firme máte (napríklad na dáta vo vašom CRM budú podliehať iným pravidlám, ako životopisy, ktoré zbierate od uchádzačov o zamestnanie). Preto odporúčame začať od analýzy aktuálneho stavu a poradiť sa s právnikmi alebo odborníkmi na ochranu dát.

Právo na informácie

Či už spracúvate osobné údaje svojich zamestnancov, zákazníkov alebo akýchkoľvek iných osôb, určite sa vás dotkne právo na informácie, ktorým sa zaoberá nariadenie na ochranu osobných údajov v článkoch 12 – 15. Osobám, o ktorých dáta zhromažďujete, musíte poskytnúť celú radu informácií o spracovaní, ako sú kontaktné údaje na správcu, účely spracovania, kto sa k dátam môže dostať a podobne. GDPR požaduje hlavne to, aby ste údaje uvádzali stručne a jasne – takže odporúčame riadiť sa pri ich spisovaní zdravým rozumom. Viac ako mnohostránkový právny dokument zaváži jednoduché znenie, ktoré bude pochopiteľné pre každého.

Viac ako do technických opatrení smeruje táto požiadavka na dokumentáciu. Dôležitou časťou aplikácie tohto práva však je, že ako organizácia musíte byť schopní poskytnúť kópiu spracovávaných osobných údajov. Keďže informačné systémy, ktoré sa vo firmách používajú, sú rozlične komplexné, častokrát táto požiadavka smeruje na ich dodávateľov. Mali by ste od nich požadovať, aby vám umožnili vyexportovať si údaje o jednej konkrétnej osobe dostatočne rýchlo na vyžiadanie.

Právo na opravu a výmaz

Ďalšie požiadavky GDPR smerujú na spracovanie presných a aktuálnych údajov. Každá osoba, ktorej osobné údaje spracovávate, má právo požiadať o opravu osobných údajov o nej, rovnako ako o zmazanie takých údajov, ktoré nie sú správne. V rámci tejto oblasti by ste mali nastaviť interné procesy tak, aby ste nespracovávali údaje, ktoré už nepotrebujete. Pre každé spracovanie to bude iná doba – napríklad údaje o zamestnancoch musíte zo zákona archivovať niekoľko rokov po zániku pracovného pomeru, ale výsledky prieskumu verejnej mienky nemusíte už v pôvodnom tvare po vypracovaní štatistiky potrebovať.

S požiadavkou na opravu informácií alebo výmaz vás však môže kontaktovať akýkoľvek subjekt údajov, a vy na ňu bez zbytočného odkladu zareagovať. Je dobré mať na pamäti to, že právo na výmaz nie je absolútne – akonáhle po vás spracovanie požaduje zákon (ako v príklade o archivácii údajoch o zamestnancoch), tieto dáta zmazať nemôžete. Podobne ako u exportu dát v prípade práva na informácie, aj táto požiadavka smeruje hlavne k  dodávateľom vašich systémov, aby ste boli schopní rýchlo dáta editovať alebo cielene vymazať.

Právo na obmedzenie spracovania a vznesenie námietky

Požiadavka na obmedzenie spracovania smeruje k situáciám, kedy napríklad reagujete na požiadavku na opravu osobných údajov, alebo na námietku. Túto námietku môže ktokoľvek vzniesť povedzme v prípade, že ho oslovujete kvôli priamemu marketingu – alebo kvôli tomu, že si myslí, že údaje spracovávate protiprávne. Akonáhle niečo podobné nastane, musíte byť schopní pozastaviť spracovanie (pokiaľ je to možné) do doby vyriešenia podnetu.

Právo na prenositeľnosť údajov

V prípade, že spracúvate osobné údaje automatizovaným spôsobom a na základe súhlasu alebo zmluvy, vzťahuje sa na vás ďalšia požiadavka GDPR, a síce možnosť uplatnenia práva na prenositeľnosť. Osoby, ktorých osobné údaje spracúvate, môžu požiadať o export osobných údajov, aby si ich preložili k inému správcovi. Vzniká tým jednoduchá cesta preniesť si osobné údaje napríklad od jedného poskytovateľa mobilných služieb k ďalšiemu. Pokiaľ sa na vás toto právo vzťahuje, tieto dáta ste povinní poskytnúť v bežne používanom, strojovo čitateľnom formáte.

Poradný orgán Európskej Únie, Article 29 Working Party (A29WP), vydal k tejto požiadavke odporúčanie s číslom 242. Odporúčania od A29WP sú síce právne nezáväzné, ale poskytujú praktické rady ako právne požiadavky technicky implementovať. V rámci technickej realizácie v tomto bode radí pripraviť export napríklad ako formát TIFF, CSV alebo XML.

Práva v kocke

Na aplikáciu práv vašich zamestnancov, zákazníkov alebo iných osôb je dobré pripraviť sa hlavne procesne a technicky. Na väčšinu požiadaviek musia byť pripravené hlavne vaše informačné systémy, v ktorých dáta spracovávate – aby vám boli schopné dáta o jednotlivcovi vyexportovať, upraviť, zmazať alebo jednoducho preniesť. Odporúčame začať od analýzy, aké spracovania vo firme vediete a následne si určiť, ktoré z požiadaviek sa na vás budú vzťahovať. Následne s vašim IT oddelením a dodávateľmi doladiť zvyšok.


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (30. časť) Balíčky Snap

11.06.2018 11:30

Spoločnosť Canonical Group Ltd (canonical.com) začala používať balíčkový systém Snap v roku 2016, keď bol vydaný aj Ubuntu 16.04 Xenial Xerus. Motiváciou na vývoj tohto alternatívneho balíčkového syst ...

ITPro

Máte novú poštu. Nachystajte si peňaženku

10.06.2018 11:24

Koľko stojí nepozornosť? Jedna z rozpočtových organizácií istého slovenského ministerstva by to vedela povedať presne. Od dodávateľskej spoločnosti jej prišiel e-mail, v ktorom odosielateľ oznamoval, ...

ITPro

Vplyv umelej inteligencie, nových technológií a moderných trendov na IT podporu biznisu

12.06.2018 00:03

O vplyve nových informačných technológií a trendov na podnikové informačné systémy a efektívnosť výrobných, technologických, logistických a obchodných procesov sme sa rozprávali s technologickým šéfom ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_06

Najnovšie videá



PC forum button