Vážené dámy, Vážení páni
V súvislosti s
(1) Nariadením európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných
údajov a o voľnom pohybe takýchto údajov - General Data Protection Regulation (ďalej len GDPR),
(2) Smernicou Európskeho parlamentu a Rady (EÚ) č.2016/680,
(3) Zákonom č. 18/2018 Z.z. - Zákon o ochrane osobných údajov, dochádza k významnej zmene legislatívy v oblasti ochrany osobných údajov.
Doteraz platil zákon č. 122/2013 o ochrane osobných údajov.
Tento je od 25.5.2018 nahradený nariadením_GDPR a zákonom č. 18/2018 Z.z. o ochrane osobných údajov, ktorý odzrkadľuje a dopľňa všetky
náležitosti nariadenia.
Prehľad najpodstatnejších zmien v súvislosti so zmenou legislatívy 25.5.2018
(1) Zrušenie povinnosti mať vypracovaný bezpečnostný projekt - avšak dokumentácia napr. vo forme organizačnej smernice bude potrebná.
(2) Prísnejšie podmienky na získanie súhlasu so spracovaním osobných údajov - nutnosť zmeny formulácie
písomných súhlasov a spôsobu ich získania.
(3) Zvýšenie práva dotknutej osoby napr. o právo na opravu, vymazanie alebo prenosnosť údajov - o všetkých
týchto právach bude musieť byť dotknutá osoba informovaná v súhlase so spracovaním osobných údajov.
(4) Zvýšenie zodpovednosti sprostredkovateľov a s tým súvisiaca zmena zmluvných vzťahov s nimi - ak pre firmu
spracúvajú osobné údaje iné firmy (napr. účtovnícke), bude potrebné podpísať nové zmluvy o spracovaní osobných údajov.
(5) Zodpovednú osobu už nebudú musieť mať všetky subjekty, ale len niektoré a pre drvivú väčšinu firiem táto povinnosť odpadne.
(6) Dôraz na "minimalizáciu údajov".
(7) Povinnosť oznamovať narušenie ochrany osobných údajov dozornému orgánu.
(8) Privacy by design and by default.
Privacy by Design v podstate znamená, že akákoľvek operácia, ktorá sa deje v rámci firmy – prevádzkovateľa – musí byť vykonávaná so zreteľom
na ochranu osobných údajov v každom kroku danej operácie. Či už ide o informačné systémy , interné projekty, vývoj produktu, softwaru atď.
Ochrana osobných údajov musí byť neustále naplňovaná a implementovaná.
Privacy by Default znamená, že najprísnejšie štandardy ochrany osobných údajov by mali byť zohľadňované automaticky, bez akéhokoľvek vstupu
a nutnej akcie zo strany dotknutej osoby.
(9) Rozšírenie pojmu osobný údaj, napr. o identifikátory ako IP adresa, cookies, IČO Fyzickej osoby a pod.
(10) Likvidačné pokuty - s tými pokutami to ale nie je až také vážne. Tie najvyššie hrozia vyslovene až pri opätovnom porušení ochrany osobných údajov.
To ale neznamená, že treba prípravu na GDPR podceniť.
V minulosti sme mnohým používateľom našich programov, ale i iným firmám (viac ako 1800 subjektov), vypracovali BEZPEČNOSTNÝ PROJEKT INFORMAČNÉHO SYSTÉMU (BPIS) pre:
- zdravotnícke zariadenia
- účtovné a audítorské firmy
- obchodné a výrobné spoločnosti
- lekárne, protetické výrobne a očné optiky
- realitné kancelárie
- bytové družstvá
- elektronické obchody (e-shopy)
- cestovné kancelárie / agentúry
- realitné kancelárie
- prekladateľské služby
- advokátske kancelárie
Ako väčšina povinností diktovaných štátnou mocou nemali tieto projekty pre našich zákazníkov väčší význam, ale myslíme si, že ak sa aspoň trochu riadili smernicami a odporúčaniami bezpečnostného projektu, tak to zmenšilo pravdepodobnosť sankcií zo strany úradu a straty údajov z ich počítačových systémov.
Náš projekt sa ukázal ako dobrá voľba. Od roku 2013 žiadna pokuta ani významné pochybenie u našich klientov. Máte niečo, čo má profesionálny vzhľad, nepísali to celé právnici, ale ľudia čo robia s informatickými lajkami 20 rokov. Ak ste to aj prečítatali, možno ste sa zamysleli nad svojou firmou a bezpečnosťou jej dát. Možno ste aj vďaka tomu neprišli o dáta vplyvom technickej poruchy, bežného ľudského zlyhania, alebo vlámania do Vašich priestorov.
Nezanedbateľné bolo aj to, že ste si zároveň splnili zákonnú povinnosť a boli ste relatívne imúnny voči prípadnej kontrole.
Ak už máte nejaký projekt vypracovaný je vzhľadom na súčasný stav legislatívy (hlavne absencii vykonávacích vyhlášok a predpisov) je z nášho pohľadu vhodné riešiť aproximáciu bezpečnostnej dokumentácie na plný súlad s legislatívou a vyhláškami v dvoch etapách.
V prvej etape vykonať dôkladnú analýzu novej legislatívy, upraviť poučenia poverených osôb, upraviť sprostredkovateľské zmluvy, rozpracovať evidenciu sprostredkovateľských činností, vytvoriť formuláre na nahlásenie bezpečnostných incidentov a rozpracovať posúdenie vplyvu spracovania na ochranu osobných údajov.
V druhej etape po vydaní vyhlášok, usmernení a predpisov vypracovanie úplne novej bezpečnostnej dokumentácie. Plne v súlade s platnou legislatívou.
Drvivá väčšina spracovateľských činnosti prevádzkovateľov spadá pod právo únie a bude sa na neho prioritne vzťahovať nariadenie GDPR. Uplatňovať sa bude aj zákon č. 18/2018 Z. z., a to s výnimkou jeho 2. a 3. časti; teda zo zákona č. 18/2018 Z. z. bude pre prevádzkovateľa relevantná prvá časť okrem § 2 a § 5 a následne štvrtá až šiesta časť.
Pre nových klientov vieme v súčasnosti ponúknuť novú dokumentáciu v súlade s GDPR.
Ak si myslíte, že sme ten správny partner na spoluprácu, napíšte nám email na jurajzon@gmail.com.
S pozdravom Ing. Juraj Zoň.
Ukážka vzorovej dokumentácie
Nekupujte mačku vo vreci a GDPR bezpečnostnú dokumentáciu si pozrite z nasledujúceho odkazu, kde nájdete vzorový text podľa GDPR a zákona 18/2018 Z. z.
GDPR bezpečnostná dokumentácia - ukážka
Mám záujem
Ak máte záujem o vypracovanie GDPR bezpečnostnej dokumentácie, napíšte nám e-mail na adresu jurajzon@gmail.com, zavolajte na tel. č. +421 911 715 844 v pracovné dni od 9:00 do 15:00.