GDPR a organizácie. Aké sú prínosy v oblasti ochrany osobných údajov?

EÚ dosiahla politickú dohodu o reforme pravidiel ochrany údajov. Nový súbor pravidiel nielenže dáva občanom kontrolu nad ich osobnými údajmi, ale poskytuje aj mnohé výhody a príležitosti pre podniky. Reforma bude kľúčovým faktorom pri podpore jednotného trhu s digitálnym obsahom, ktorý umožní európskym občanom a podnikom profitovať z digitálneho hospodárstva.

Aká je súčasná situácia a prečo existuje potreba zmeny?

Firmy v súčasnosti majú dodržiavať 28 rôznych zákonov o ochrane osobných údajov v 28 krajinách. Táto fragmentácia je nákladnou administratívnou záťažou, ktorá znemožňuje podnikom, najmä malým a stredným podnikom, prístup na nové trhy.

Reforma odstráni túto byrokraciu. Nové pravidlá napríklad zrušia súčasnú povinnosť podnikov informovať iný vnútroštátny orgán na ochranu údajov o údajoch, ktoré spracovávajú, čo ich doteraz stálo približne 130 miliónov EUR ročne.

 A dôkaz?

Jednotlivci a podniky očakávajú, že pravidlá ochrany údajov budú v celej EÚ dôsledné. Viac ako 90% Európanov uviedlo, že si želajú jednotné práva na ochranu údajov v celej EÚ.

Reforma ochrany údajov pomáha podnikom získať dôveru spotrebiteľov k opätovnému využívaniu ich služieb. Podľa prieskumu z roku 2015 sa osem z desiatich ľudí domnieva, že nemajú úplnú kontrolu nad svojimi osobnými údajmi. Dve tretiny Európanov majú obavy, že nemajú úplnú kontrolu nad svojimi osobnými informáciami na internete.

Podniky, ktoré neposkytujú dostatočnú ochranu našich osobných údajov, môžu stratiť našu dôveru. Táto dôvera, najmä v on-line prostredí, je nevyhnutná na povzbudenie ľudí k využívaniu nových produktov a služieb.

Príležitosť na cezhraničnú expanziu pre podniky EÚ

Príklad:

Malá reklamná spoločnosť vo Francúzsku chce rozšíriť svoje podnikanie do Nemecka. Zákony spracovania údajov v súčasnosti podliehajú rôznym pravidlám v Nemecku ako vo Francúzsku a tak bude musieť spoločnosť kontaktovať nový regulačný orgán. Náklady na právne poradenstvo a premenu obchodného modelu pravdepodobne neumožnia, aby sa vstup na nový trh oplatil. Napríklad niektoré členské štáty účtujú poplatky za spracovanie údajov.

Po reforme ochrany údajov zrušili nové pravidlá ochrany údajov povinnosti oznamovania a súvisiace náklady. Jedným z nepriamych cieľov nariadenia o ochrane údajov je odstrániť prekážky cezhraničného obchodu. To uľahčuje cezhraničnú expanziu spoločností na území EÚ.

Koho sa GDPR týka?

Stručne povedané, GDPR platí pre takmer každú organizáciu. Ak kontrolujete alebo spracovávate osobné údaje týkajúce sa obyvateľov EÚ – či už ide o zákazníkov alebo o vlastných zamestnancov – musíte to urobiť takým spôsobom, ktorý je v súlade s GDPR.

Organizácie nemusia mať sídlo v EÚ, aby boli viazané GDPR. Musia spracovávať alebo uchovávať údaje o obyvateľoch EÚ len preto, aby sa na nich vzťahovala GDPR.

V závislosti od vašej úlohy pri zhromažďovaní alebo spracovávaní týchto údajov sa v nariadení budete zobrazovať buď ako správca údajov, alebo ako dátový procesor.

Jedným zo spôsobov, ktorým sa firmy, ktoré sa nachádzajú mimo EÚ vyhli akýmkoľvek požiadavkám GDPR, je inštalácia lokalizačných filtrov, ktoré blokujú dopravu z EÚ. To znamená, že od občanov EÚ nie sú zhromažďované žiadne údaje, a preto nie je potrebné dodržiavať GDPR.

Pojmy správca údajov a dátový procesor? O čo ide?

  • Spravovanie údajov znamená, že by tretie strany mohli uzavrieť zhromažďovanie a spracovávanie údajov. Tie by však správcovi museli dať na známosť, ako to plánujú vykonať a uviesť, na aký účel to robia.
  • Dátový procesor je tretia strana, ktorá manipuluje s údajmi, aby získala hodnotu pre poskytované služby.
  • To znamená, že kontrolór by mohol byť akákoľvek organizácia, od maloobchodného predajcu na svetovej úrovni až po globálneho výrobného obra až po charitu, zatiaľ čo procesor by mohol byť firma IT služieb, ktorú používajú.
  • Je úlohou kontrolóra zabezpečiť, aby procesor spĺňal zákon o ochrane údajov, zatiaľ čo spracovatelia musia uchovávať záznamy o svojich spracovateľských činnostiach, aby dokázali, že dodržiavajú pravidlá. Na rozdiel od starších zákonov na ochranu údajov sú spoločne zodpovední prevádzkovateľ aj spracovateľ za finančné pokuty v prípade porušenia údajov alebo ak sa zistí, že spracovateľ spracoval údaje nezákonne.

Ako môžem spracovať údaje pod GDPR?

GDPR uvádza, že kontrolóri musia zabezpečiť, aby sa osobné údaje spracovávali zákonne, transparentne a na konkrétny účel. To znamená, že ľudia musia pochopiť, prečo sa spracovávajú ich údaje a ako sa spracúvajú, zatiaľ čo spracovanie musí spĺňať pravidlá GDPR.

Dopad GDPR na firmy

Údaje sú v tomto svete hodnotnou menou. A zatiaľ čo GDPR vytvára výzvy pre nás ako podniky, vytvára to aj príležitosti. Spoločnosti, ktoré preukazujú, že oceňujú súkromie jednotlivca (okrem samotného dodržiavania právnych predpisov), ktorí sú transparentní o tom, ako sa údaje používajú, navrhujú a implementujú nové a vylepšené spôsoby riadenia údajov zákazníkov počas svojho životného cyklu, vytvárajú dôveru a udržiavajú viac verných zákazníkov.

Ak ste ešte nezačali svoju cestu k dodržiavaniu predpisov, začnite hneď teraz. Vymedzte si čas na pochopenie toho, čo musíte urobiť, aby ste sa stali kompatibilnými a použite praktické tipy z predošlých článkov.

Podmienky na získanie súhlasu sú prísnejšie podľa požiadaviek GDPR, pretože jednotlivec musí mať kedykoľvek právo odobrať súhlas a existuje domnienka, že súhlas nebude platný, pokiaľ nebudú získané samostatné súhlasy pre rôzne spracovateľské činnosti. To znamená, že musíte dokázať, že jednotlivec súhlasil s určitou akciou, napríklad aby dostal newsletter.

GDPR zmenila veľa vecí pre spoločnosti, ako napríklad spôsob riadenia marketingových aktivít. Spoločnosti museli prehodnotiť obchodné procesy, aplikácie a formuláre, aby boli v súlade s najlepšou praxou v oblasti e-mailového marketingu.

GDPR a organizácie pre nový rok

gdpr 36
Bezpochyby rok 2018 si budeme pamätať ako rok GDPR – aspoň medzi kyberneticko-bezpečnostnou komunitou. Čo nás čaká v roku 2019?

Porušenia – riešenie porušení bude aj naďalej prvým problémom, ktorým budú organizácie čeliť z hľadiska kybernetickej bezpečnosti. Rozhodnutie o tom, či musí byť informovaný regulátor a / alebo zúčastnené osoby, bude aj naďalej prvým problémom. Organizácie sa stále nachádzajú v tejto oblasti a očakáva sa, že budú pokračovať. Ak sa podáva hlásenie a oznamovanie, riadenie týchto procesov je následnou otázkou.

Je pravdepodobné, že bude viac práce a možno aj vyššie náklady, než by mohli organizácie očakávať. Opatrenia na nápravu a odbornú prípravu budú potrebné na to, aby sa zabezpečilo, že organizácie budú riadne vybavené na zvládnutie narušenia údajov.

Dohody o spracovaní údajov – tieto sú povinné v rámci GDPR – ale mnohé organizácie sa stále usilujú o ich správu. Väčšina problémov sa zdá byť rôznorodosťou na téme, pričom otázky vrátane klauzúl sa navrhujú zbytočne mnohými spôsobmi, ktoré berú čas a peniaze. Mnohí sa teraz snažia čo najviac zefektívniť proces.

Môžu sa objaviť aj otázky týkajúce sa zodpovednosti a odškodnenia. V rámci GDPR majú najdôležitejšie zodpovednosti prevádzkovatelia údajov, pričom mnohí sa snažia obmedziť toto obmedzenie tým, že uložia odškodné spracovateľom údajov. Sankcie by potom mohli byť uložené alebo požadované od kompetentného správcu, ktorý by sa potom mohol pokúsiť požiadať o náhradu škody od spracovateľa, o ktorom obaja skončia.

Certifikácia a kódexy správania – Očakávame, že sa v tomto roku konečne objavia v niektorých krajinách EÚ.

Nariadenie o sieťových a informačných systémoch 2018 (NIS – odvodené zo smernice EÚ o kybernetickej bezpečnosti) – dodržiavanie NIS, vrátane hlásenia regulačnému orgánu.

Škandál Facebook Cambridge Analytica dal veľmi dôležitú pozornosť k citlivosti ochrany osobných údajov vo svetle GDPR.