nie práve najprehľadnejšia novela zákona o ochrane osobných údajov mnohých podnikateľov desí. Nová regulácia GDPR (z anglického General Data Protection Regulation) sa totiž týka všetkých, ktorí nejakým spôsobom prichádzajú do kontaktu s osobnými údajmi, či už sú to veľké inštitúcie, alebo majitelia malých internetových e-shopov. A pokuty za nesprávne narábanie s týmito údajmi nie sú vôbec malé.
Práve finančné sankcie, ktoré sa v novom nariadení zvýšili a môžu byť likvidačné, by však podľa odborníkov nemali byť hlavnou motiváciou pre rešpektovanie nariadenia. „Keď niekoho zrazíme na prechode, nemali by sme sa báť pokuty, ale toho, že môžeme niekoho pripraviť o život,“ vyhlásil počas diskusie o ochrane osobných údajov v klube .pod lampou advokát Michal Ridzoň.
„Ľudia málo čítajú s porozumením a často sami pootvoria dvere do vlastnej spálne.“
Na prvý pohľad silná metafora má svoje opodstatnenie. Medzi osobné údaje totiž patria aj citlivé údaje, ktorých únik môže mať ďalekosiahle následky. „Spúšťačom by mali byť zodpovedné podnikanie a zodpovedný prístup k osobným údajom,“ podporil myšlienku expert na ochranu osobných údajov Ján Golais.
nepúšťajme svet do našej spálne
Osobné údaje sa delia na dve základné skupiny. Na jednej strane sú to všeobecné osobné údaje a na druhej je to osobná kategória, obsahujúca údaje, ktorých únik alebo zneužitie môžu človeku spôsobiť väčšiu ujmu.
Osobným údajom však môže byť čokoľvek, na základe čoho vieme identifikovať osobu, ktorej patrí. To znamená, že nejde len o tie najznámejšie údaje ako rodné číslo či dátum narodenia, ale aj o emailovú adresu, fotografie či dokonca spôsob chôdze, správanie na internete alebo náš hlasový prejav. Preto by sme sa podľa odborníkov nad ich ochranou mali zamýšľať aj my používatelia, a to pri každodenných činnostiach.
Všetci zrejme poznáme prípad, keď nás počítač vyzve, aby sme niečo odsúhlasili a ponúkne nám na prečítanie siahodlhé odborne napísané podmienky súhlasu. Väčšina z nás ich zrejme ani okom neprebehne a klikne na tlačidlo „Prijať“. Celé ich – ako sa priznali pozvaní odborníci – niekedy nečítajú ani samotní experti.
Ochrana nás a našich údajov však spočíva aj v oveľa jednoduchších úkonoch, ako je napríklad zváženie obsahu, o ktorý sa delíme so svetom. „Na jednej strane si ľudia strašne bránia svoje súkromie a riešia každý zásah do svojej integrity a na druhej strane úplne bezhlavo zverejňujú na sociálnych sieťach pomaly fotky celej rodiny a všetky svoje vzťahy a prepojenia,“ poukázal na paradox expert Ján Golais.
„Ľudia málo čítajú s porozumením a často sami pootvoria dvere do vlastnej spálne,“ pritakal mu advokát Michal Ridzoň.
ochrana osobných údajov nie je jednoduchá vec
Nariadenie GDPR bolo prijaté, aby zjednotilo pravidlá na európskom trhu, no najmä, aby do ochrany osobných údajov prinieslo poriadok. V každej krajine EÚ totiž doteraz platili rôzne pravidlá a v niektorých nebola táto ochrana ani komplexne podchytená. U nás toto nariadenie nahrádza viac ako 20 rokov starú smernicu.
Platiť pritom nebude len pre európske subjekty, ale pre všetkých tých, ktorí budú svoju činnosť vykonávať na území Európskej únie. Týka sa tak napríklad aj gigantov ako sú Facebook či Google v súvislosti so službami, ktoré tu u nás poskytujú.
Prijatiu novely predchádzal zložitý proces a jej pochopenie a zapracovanie spočiatku nebolo úplne jednoduché ani pre expertov. „GDPR nie je dokonalé. Má plno zón, ktoré si jednotlivé členské štáty môžu upraviť svojimi adaptačnými predpismi,“ vysvetlila Nikola Dohnalová, ktorá sa tejto problematike venuje v Českej republike.
„Osobným údajom môže byť čokoľvek, na základe čoho vieme identifikovať osobu, ktorej patrí.“
Na Slovensku preto niektoré spoločnosti poskytujú aj poradenstvo či audity, aby firmy ochránili pred pokutami a porušením pravidiel. Jednou z nich je aj spoločnosť Digmia, ktorej šéf Peter Fuska počas diskusie upozornil, že absolútne jednoduché riešenia a „zázračné“ softvéry v tomto prípade väčšinou neexistujú. „Netreba sa spoliehať na to, že nejaký sofistikovaný nástroj na ochranu proti strate dát mi zachráni možnú stratu alebo zneužitie údajov u zamestnanca,“ vysvetlil Fuska.
ako sa nestratiť v labyrinte pravidiel
To, aké opatrenia bude potrebné prijať, závisí od komplikovanosti procesov, ktoré daná spoločnosť alebo jednotlivec využívajú. Výsledok by pritom mal byť kombináciou technických aj organizačných zmien. „Je to o zodpovednom prístupe,“ vysvetlil jednoducho Ján Golais. Základom je pritom analýza toho, s akými dátami prichádzame do styku a na čo ich využívame.
Golais všetkým tým, ktorých sa nariadenie týka, poradil, aby sa okrem dôkladnej analýzy snažili s údajmi narábať čo najopatrnejšie a všetko si zabezpečili tak, aby to vedeli patrične odôvodniť. „GDPR hovorí, že máte šifrovať, pseudonymizovať, zabezpečiť dostupnosť, dôvernosť, integritu, obnovu, odolnosť systému a podobne, no to sú všetko asi také slová, ako veľký rozsah. Nikto nevie, čo to presne je,“ vysvetlil nejasnosti Golais.
GDPR však zakotvuje aj pomocný aspekt, ktorým je povinnosť vykonať kontrolu opatrení, ktoré si daná inštitúcia alebo človek zvolili. „Aj keď si niekoho zazmluvníte, alebo si zakúpite nástroj v dobrej viere, že obsahuje všetky bezpečnostné prvky, ktoré by mal mať, mali by ste si ho vedieť skontrolovať. Musíte si tú kontrolu vykonať aj sami,“ poradil expert.
Článok uverejňujeme v spolupráci s Digmiou.