„Od 25. mája sa v celej Európe začnú uplatňovať nové, silné pravidlá ochrany údajov. Bolo načase. Súčasné pravidlá Európskej únie o ochrane údajov sa datujú do roku 1995, keď nikto nepočul o spoločnosti Facebook alebo Instagram. Modernizované pravidlá sú vhodné pre digitálny vek a pomôžu ľuďom znovu získať kontrolu nad ich osobnými údajmi,“ uviedla Věra Jourová, európska komisárka pre spravodlivosť, spotrebiteľov a rodovú rovnosť.
S príchodom jari získajú ľudia nové práva pri používaní internetu, a keďže v Európe dnes používa internet každý deň 250 miliónov ľudí, ide o zmeny s rozsiahlym dosahom, ktoré sa dotknú prakticky všetkých. Ľudia totiž čoraz viac poskytujú svoje osobné údaje, či už prostredníctvom internetového bankovníctva, pri nakupovaní, cez sociálne médiá, alebo napríklad pri elektronickom podávaní daňového priznania. Užívatelia síce majú aspoň hrubú predstavu, kde všade uviedli svoje osobné údaje, no netušia, čo sa s tými údajmi potom deje. Nová regulácia im umožní väčší dohľad nad tým, čo sa s ich citlivými dátami deje za webovými stránkami e-shopu alebo sociálnej siete. Novým pravidlám sa bude musieť prispôsobiť napríklad aj Facebook. "Na sociálne siete bude táto regulácia veľmi tvrdo dopadať. Facebook už začal zavádzať rôzne opatrenia, k užívateľom z EÚ má iný prístup ako k užívateľom z iných krajín. Podľa novej úpravy si už viete uplatniť napríklad právo na ,zabudnutie' – požiadať Facebook, aby zmazal všetky vaše údaje,“ vraví Ľubomír Kopáček, riaditeľ divízie bezpečnosti spoločnosti Amtel Slovensko.
Zároveň to znamená, že firmám ostáva už len niečo vyše dvoch mesiacov, aby sa pripravili na zmeny legislatívy známej pod skratkou GDPR (General Data Protection Regulation – Regulácia o všeobecnej ochrane dát). Tá zjednocuje a sprísňuje požiadavky na ochranu osobných údajov v EÚ. Slovensko k európskemu nariadeniu pripravilo aj nový zákon o ochrane osobných údajov. Podľa odhadov predkladateľov sa dotkne vyše pol milióna subjektov na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur.
„GDPR a nový zákon o ochrane osobných údajov prinesú do právneho prostredia posilnenie práv jednotlivcov v súvislosti so spracúvaním ich osobných údajov. Vzhľadom na všeobecnú popularizáciu tejto problematiky a veľmi prísne sankcie je dôležité, aby subjekty spracúvajúce osobné údaje prípravu na novú úpravu nepodcenili,“ uviedol partner advokátskej kancelárie Ernst & Young Law Róbert Kováčik. Opatrenie sa totiž týka prakticky všetkých firiem, i keď firmy s menej ako 250 zamestnancami majú oproti veľkým spoločnostiam zjednodušenú situáciu. Ale to len v prípade, ak spracúvanie osobných údajov nie je ich pravidelná činnosť, nepredstavuje ohrozenie práv a slobôd jednotlivcov alebo sa netýka citlivých údajov či záznamov o trestnej činnosti. Pre mnohé malé a stredné podniky bude takisto prínosné, že spoločnosti nie sú povinné vymenovať úradníka pre ochranu údajov, pokiaľ ich podnikanie netvoria činnosti, ktoré predstavujú konkrétne riziká pre ochranu údajov, napr. nakladanie s citlivými údajmi vo veľkom rozsahu.
Týmto špecialistom sa hovorí Data Protection Officer (DPO) a podľa odborníkov zakrátko pôjde o lukratívnu pozíciu a nebude vôbec jednoduché ich nájsť. „Z DPO sa vo veľmi krátkom čase stane vyhľadávaná špecializácia, keďže sa v tejto funkcii stretli široké požiadavky na kompetencie a regulácia jej garantuje rozsiahle právomoci. Vyústenie do veľmi slušne zaplatenej pracovnej pozície mi príde ako celkom logické,“ myslí si Kopáček, ktorý spolupracuje s TÜV SÜD Slovakia na odborných školeniach pre manažment a zamestnancov.
Podľa prieskumu spoločnosti KPMG na Slovensku však takmer polovica slovenských spoločností začiatkom februára ešte len zisťovala, ako zabezpečiť súlad s novou legislatívou. "Právo na výmaz osobných údajov a právo na obmedzenie spracúvania osobných údajov pokladajú firmy pri implementácii za najťažšie. Aj naše skúsenosti potvrdzujú, že implementácia a reálna vykonateľnosť viacerých ustanovení GDPR sa v praxi ukazujú ako tvrdý oriešok,“ skonštatoval výkonný riaditeľ oddelenia pre poradenstvo v riadení rizík KPMG na Slovensku Pavol Adamec. Tretina respondentov v prieskume uviedla, že k termínu účinnosti sa sústredí len na najrizikovejšie oblasti a iba tretina firiem predpokladá, že do mája zabezpečí úplné pokrytie dotknutých oblastí a požiadaviek.
Dozorový orgán, ktorým je na Slovensku Úrad na ochranu osobných údajov, od mája očakáva zvýšený počet žiadostí, ktorými sa „dotknuté osoby“ prostredníctvom novej legislatívy budú dožadovať nápravy. Úrad na ochranu osobných údajov vidí prínos nariadenia hlavne „v zjednotení právneho textu ochrany osobných údajov naprieč celou Európskou úniou“, uviedla Lucia Bezáková z odboru právnych služieb a medzinárodných vzťahov úradu.
„Podstatnou zmenou oproti pôvodnému zákonu je posilnenie práv dotknutých osôb. Prevádzkovatelia, ktorých sa GDPR týka, budú určite musieť riešiť postupy na vybavovanie žiadostí, ktoré od mája môžu nastať. Žiadosti dotknutých osôb sú na uplatňovanie rôznych práv, je ich viac, ako bolo pôvodne. Môže to byť výmaz, prenos údajov, oprava alebo odpis údajov. Je potrebné sa na to aj technicky pripraviť,“ hovorí Katarína Hausierová, odborníčka na ochranu osobných údajov.
Internet čoraz častejšie a intenzívnejšie využívajú aj deti. Nová legislatíva sa preto týka aj lepšej ochrany neplnoletých, keď sú online. Deti zároveň menej poznajú riziká a dôsledky spojené s poskytovaním údajov a menej poznajú svoje práva. Preto akékoľvek informácie adresované konkrétne dieťaťu sa budú musieť prispôsobiť tak, aby boli ľahko prístupné a aby používali jasný a jednoduchý jazyk. A to je jedna z ďalších výziev pre firmy v spracúvaní a používaní osobných údajov.
Reforma v oblasti ochrany údajov
Nové práva občanov
- Dostať jasné a zrozumiteľné informácie o tom, kto spracúva vaše údaje
- Požiadať o prístup k osobným údajom, ktoré má o vás daná organizácia
- Požiadať o prevod osobných údajov od jedného poskytovateľa služieb k druhému
- Právo byť „zabudnutý“ – možnosť požiadať o vymazanie vašich osobných údajov
- Spoločnosti potrebujú súhlas občana na spracovanie údajov a musia jasne uviesť, ako ich použijú
Vplyv na firmy
- Všetky firmy so sídlom v EÚ, ktoré spracúvajú osobné údaje jednotlivcov, budú musieť dodržiavať pravidlá únie o ochrane údajov
- Pre spoločnosti, ktoré rozširujú svoju činnosť do inej krajiny EÚ, bude platiť rovnaký súbor pravidiel, čím odpadnú náklady na právne poradenstvo
- Firmy s menej ako 250 zamestnancami nebudú musieť viesť záznamy, ak spracovanie údajov nie je pravidelná činnosť a netýka sa citlivých údajov
- Prevod osobných údajov medzi poskytovateľmi služieb má zvýšiť hospodársku súťaž a uľahčiť malým firmám vstup na dátové trhy
ZDROJ: EK
Príklady využitia nových pravidiel ochrany údajov
- V rámci práva na „zabudnutie“, keď človek zadá svoje meno do on-line vyhľadávača a vo výsledkoch sa zobrazia odkazy na starý spravodajský článok napríklad o dlhu, ktorý je už dávno splatený, bude môcť požiadať vyhľadávač o vymazanie týchto odkazov.
- Ak dôjde k zrážke, autá vybavené celoeurópskym systémom tiesňového volania eCall automaticky zavolajú najbližšiemu núdzovému stredisku a poskytnú mu údaje o lokalizácii vozidla. Vďaka tomu, že bude platiť jeden súbor pravidiel ochrany údajov v rámci všeobecného nariadenia, bude možné jednoducho a rýchlo odoslať dôležité údaje záchranným službám a pomáhať zachraňovať životy.
- Stále častejšie sa objavujú hackerské útoky typu WannaCry, Spectre alebo Meltdown, pri ktorých dochádza ku krádežiam citlivých osobných údajov. Firmy však z obáv o stratu reputácie a trhovej hodnoty o týchto udalostiach informujú až pod tlakom a oneskorene. Po novom tak budú musieť urobiť hneď, ak to nespravia, môžu dostať pokutu.
