Ako sa pripraviť na GDPR?
Ako väčšina z Vás už momentálne vie, 25. mája 2018 začne platiť nové nariadenie o ochrane osobných údajov, a to kvôli zjednoteniu legislatívy v tejto oblasti v celej Európskej únii. GDPR (general data protection regulation) sa vzťahuje na všetky spoločnosti a organizácie, ktoré pracujú s osobnými údajmi občanov Európskej únie. Toto nariadenie sprísňuje pravidlá zhromažďovania, uchovávania a spracovania osobných údajov a citlivých informácii.
Už ste začali svoju prípravu? Prinášame Vám pár tipov, aby ste na nič nezabudli.
Čo je GDPR a koho sa týka?
GDPR je nové nariadenie EÚ o ochrane osobných údajov. Upravuje, ako spoločnosti nakladajú s osobnými údajmi všetkých občanov EÚ. GDPR nahrádza smernicu o ochrane údajov 95/94 /ES.
Všeobecné nariadenie o ochrane osobných údajov (GDPR) bude platiť pre všetky spoločnosti, organizácie, či jednotlivcov, ktorí uchovávajú, či spracovávajú osobné a citlivé informácie o svojich zamestnancoch, zákazníkoch alebo dodávateľoch. Tak isto sa týka aj tých, ktorí analyzujú správanie užívateľov na internetových stránkach.
Pokuty
Výška pokút bude samozrejme závisieť na vážnosti porušenia podmienok. Podľa nariadenia však pokuty môžu dosiahnuť výšku 20 miliónov eur alebo 4% z ročného obratu spoločnosti (podľa toho, ktorá suma je vyššia).
Čo sa považuje za osobné údaje?
Osobné údaje sú informácie, ktoré môžu priamo alebo nepriamo identifikovať konkrétnu osobu.
Osobnými údajmi môžu byť: meno, adresa, e-mailová adresa, fotka, IP adresa alebo napríklad ID mobilného telefónu. Na základe GDPR by každé spracovanie osobných údajov malo byť legálne, korektné a dostupné na vyžiadanie pre každú osobu, ktorej informácie sú spracovávané.
Čo by ste mali mať na pamäti s blížiacim sa príchodom GDPR?
-
Vykonajte plán hodnotenia rizík a preskúmajte, ako dnes ukladáte a spracovávate osobné údaje.
Dôležité otázky, ktoré si musíte zodpovedať sú:
Kde sú osobné údaje uložené? Na interných serveroch, v mobilných zariadeniach, v cloude, v e-mailoch alebo aplikáciách, ktoré využívate? Akú bezpečnosť dát spĺňate dnes? Kto má prístup k osobným údajom?
-
Zmapujte, ako zbierate, spracovávate a uchovávate osobné údaje. Možno by bolo dobré vytvoriť myšlienkovú mapu, aby ste zistili, ako sa osobné údaje pohybujú medzi rôznymi systémami a či tieto systémy spĺňajú požiadavky GDPR na správu údajov.
-
Skontrolujte, kam fyzicky ukladáte tlačené dokumenty, a vyhnite sa riziku, že skončia v nesprávnych rukách. GDPR totiž platí online aj offline, a teda aj pre papierové dokumenty. Ideálne je uchovávať ich v uzamykateľných skriniach na dokumenty, či bezpečnostných skriniach a trezoroch. Tie ponúkajú vysokú bezpečnosť a umožňujú jednoduché obmedzenie prístupu dôverných dokumentov.
-
Jedným z princípov GDPR je aj minimalizácia údajov, ktorý hovorí, že organizácia nemá držať údaje dlhšie, než je potrebné. Nepotrebné citlivé papierové dokumenty zničte jednoducho pomocou skartovačiek. Pri výbere skartovačky je dôležité, či je vhodná na skartovanie dokumentov s citlivými a dôvernými údajmi.
-
Podľa GDPR je každá organizácia povinná po úniku údajov informovať úrad pre ochranu osobných údajov najneskôr do 72 hodín. Vytvorte jasné postupy, ako konať v rámci spoločnosti, ak dôjde k úniku osobných údajov. Vďaka tomu sa zachová bezpečnosť osobných údajov.
-
Pri zbieraní osobných údajov musíte mať vždy účel, na aký boli zbierané. Ak by ste následne niekedy chceli zmeniť účel, na aký využívate osobné údaje zákazníka, musíte si vyžiadať nový súhlas.
-
Aktualizujte obchodné podmienky spoločnosti a pravidlá ochrany osobných údajov o tom, ako Vaša spoločnosť nakladá s osobnými a citlivými informáciami a uistite sa, že sú ľahko dostupné.
-
Informujte všetkých zamestnancov o zmenách, nových pravidlách a plánoch týkajúcich sa ochrany osobných údajov a implementácie GDPR.