Všeobecné nariadenie o ochrane údajov (GDPR)

25. mája 2018 nadobudlo účinnosť Všeobecné nariadenie o ochrane údajov (GDPR), ktoré prináša zásadné zmeny v tom, ako organizácie osobné údaje používajú a ako sa s nimi narába. Aby prevádzkovatelia a sprostredkovatelia osobných údajov dodržali súlad s predpismi, musia postupovať podľa tohto nového nariadenia. Spoločnosť PwC im v tom môže pomôcť.

Čo znamená GDPR pre moju organizáciu?

Ak ste organizáciou, ktorá spracúva osobné údaje v Európskej únii (EÚ), alebo  sa zameriavate na tovar a služby v EÚ alebo monitorujete činnosti občanov EÚ online, budete musieť dodržiavať GDPR.

GDPR predstavuje najväčšiu zmenu v oblasti právnych predpisov pre ochranu osobných údajov za posledné desaťročia. GDPR vyžaduje rozsiahle zmeny týkajúce sa prístupu k súkromiu vo všetkých organizáciách a regulátori získali nové právomoci ukladať pokuty. Napriek tomu vám však GDPR prináša aj príležitosť:

  • transformovať svoj prístup k súkromiu a zefektívniť spracovanie osobných údajov,
  • plne využiť hodnotu údajov vo vašej organizácii, a
  • zabezpečiť, aby bola vaša organizácia pripravená na digitálnu ekonomiku.

Je nevyhnutné, aby organizácie boli schopné regulátorom preukázať, že zaviedli efektívne opatrenia na zabezpečenie súladu.

Pre súlad s rôznymi požiadavkami GDPR musia spoločnosti v prvom rade mať prehľad o tom, aké typy osobných údajov spracúvajú na aké účely. Jedným z príkladov špecifických riešení a automatizovaných nástrojov, ktoré PwC vyvinulo je Nástroj na inventarizáciu osobných údajov - Personal Data Inventory Tool.

Stewart Room, globálny vedúci oddelenia ochrany osobných údajov a globálny líder pre právne služby, PwC UK, diskutuje o Všeobecnom nariadení o ochrane údajov (GDPR) a jeho dosahoch na spoločnosti aj občanov | Trvanie 1:48 

PwC vytvorilo efektívny automatizovaný nástroj, pomocou ktorého môžete jednoducho spravovať Vašu inventarizáciu osobných údajov, a to bez drahého sofvtéru a licenčných poplatkov.| Trvanie 2:00
 

GDPR na prvý pohľad

Fyzickým osobám dáva späť kontrolu nad ich osobnými údajmi

Spotrebitelia, zákazníci, zamestnanci a používatelia verejných služieb majú viac právomocí na kontrolu toho, ako sa ich údaje používajú. Od prevádzkovateľov a sprostredkovateľov osobných údajov je možné požadovať, aby ohlásili, presunuli alebo zlikvidovali osobné údaje, a prevádzkovatelia musia zabezpečiť kapacity, ktoré im vždy umožnia, aby tak urobili podľa platných právnych predpisov. Možnosti používania osobných údajov sú obmedzené.

Spôsob používania osobných údajov bude transparentnejší

Transparentnosť je teraz podľa GDPR výrazne posilnená. Článok 5 nariadenia GDPR stanovuje viacero zásad spracúvania osobných údajov, ktoré prevádzkovatelia osobných údajov musia dodržiavať. Podľa týchto zásad musia byť osobné údaje spracúvané „zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe“. Organizácie musia jasne uviesť všetky spôsoby, ktorými osobné údaje používajú, a fyzickým osobám jasne vysvetliť, na aký účel budú ich osobné údaje použité a komu budú poskytnuté na použitie.

Organizácie budú podliehať vyšším štandardom zodpovednosti

Organizácie budú musieť zaviesť opatrenia na preukázanie svojho súladu s požiadavkami GDPR. Medzi takéto opatrenia patrí vedenie Záznamov o spracovateľských činnostiach, oboznamovanie fyzických osôb s ich právami a používanie technických opatrení, ako je  napríklad pseudonymizácia alebo šifrovanie, na zabezpečenie príslušnej ochrany osobných údajov. Organizácie musia aj zabezpečiť, aby sa s osobnými údajmi, ktoré poskytnú tretím stranám, narábalo v súlade s GDPR. Okrem toho, niektoré organizácie majú povinnosť vymenovať osobu zodpovednú za ochranu osobných údajov („Zodpovedná osoba“) a vykonať posúdenie vplyvu na ochranu osobných údajov („DPIA“ – Data protection impact assessment).

Pokuty sú čoraz väčšie a lehoty čoraz kratšie

GDPR zavádza prísnejší režim vymáhania pravidiel a vystavuje subjekty zvýšenej finančnej zodpovednosti. Pokuty za nedodržanie pravidiel môžu byť skutočne závažné a môžu sa rovnať až 4 % ročného obratu alebo 20 mil. EUR  podľa toho, ktorá hodnota je vyššia.

Práva dotknutých osôb boli posilnené a rozšírené

Práva dotknutých osôb majú za cieľ umožniť, aby fyzické osoby mali kontrolu nad svojimi osobnými údajmi a aby boli oprávnené domáhať sa odškodnenia, ak utrpeli ujmu  alebo ťažkosti v dôsledku nesúladu s GDPR. Nariadenie zachováva existujúce práva dotknutých osôb a zavádza nové práva pre fyzické osoby, ako je napríklad „právo na zabudnutie“ a „právo na prenosnosť údajov“. Keďže práva dotknutých osôb sa posilňujú, je dôležité, aby organizácie presne vedeli, čo ktoré právo znamená pre ne a ich podnikanie.

01. Inventarizácia spracúvania osobných údajov


Základom, ktorý umožní plánovať a efektívne riadiť spracúvanie osobných údajov (OÚ) v spoločnosti, je podrobná a prehľadná inventarizácia spracúvania osobných údajov. Inventarizácia v databázovej forme predstavuje zhrnutie všetkých účelov spracúvania osobných údajov v spoločnosti. Dáva vedeniu ľahko dostupný prehľad o tom, aké typy OÚ spracúva v jednotlivých systémoch, podľa akých pravidiel a podobne.

 Výstup

  • Inventarizácia OÚ v databázovej forme či už v bežne dostupnom formáte MS Excel alebo s použitím vlastnej nadstavby používateľského rozhrania pre vyššiu prehľadnosť.
  • Spoločnosť naplní požiadavku čl. 30 GDPR na vedenie tzv. záznamov o spracovateľských činnostiach.

02. Procesné a organizačné opatrenia 

Kvalitná inventarizácia osobných údajov je základom, na ktorom je potrebné navrhnúť efektívne procesy a

organizačné opatrenia. Pre dodržiavanie súladu sú potrebné primerané interné smernice, ktoré definujú povinnosti zamestnancov spoločnosti, postavenie

a úlohy zodpovednej osoby alebo procesy na zabezpečenie práv dotknutých osôb.

 Výstup

  • Naši odborníci na interné procesy môžu pomôcť pri analýze, zmene a doplnení existujúcich interných usmernení alebo pri príprave nových usmernení pre interné procesy, ktoré sú potrebné na dokladovanie súladu s požiadavkami GDPR. Aktuálne interné usmernenia slúžia ako základný odkaz a súbor pravidiel pre zamestnancov, ako aj dôkazy o dodržiavaní GDPR.

03. Príprava dokumentácie: súhlasy, informácie

Kvalitná, prehľadná a zrozumiteľná dokumentácia k GDPR je dôležitá

z viacerých dôvodov:

  • Zabezpečí súlad s dokumentačnými požiadavkami nariadenia pred regulátorom.
  • Umožní aby boli vaši partneri, zamestnanci a verejnosť transparentne informovaní o tom, ako spracúvate ich osobné údaje.
  • Preukazuje navonok, nakoľko je spoločnosť zodpovedná pri spracúvaní osobných údajov.

Výstup

Pripravíme pre vás alebo zrevidujeme a upravíme:

  • súhlasy so spracúvaním osobných údajov v súlade s požiadavkami GDPR,
  • informácie o ochrane osobných údajov pre dotknuté osoby podľa článkov 13 a 14 GDPR,
  • šablónové zmluvy o spracúvaní osobných údajov podľa článku 28 GDPR,
  • iné vzory dokumentov podľa potreby.

04. Doby uchovávania osobných údajov a pravidlá likvidácie

Napĺňanie požiadaviek GDPR (minimalizácia údajov, zabezpečenie práv vrátane práva na výmaz) si vyžaduje, aby spoločnosti mali podrobný prehľad o tom, po aký čas je potrebné spracúvať a následne archivovať jednotlivé typy osobných údajov- a v ktorom momente je potrebné ich likvidovať.

Toto je veľká výzva pre všetkých prevádzkovateľov osobných údajov a vyžaduje si podrobné zmapovanie typov osobných údajov vo všetkých systémoch a nastavenie pravidiel ich automatickej a manuálnej likvidácie.

Výstup

  • Analýza typov osobných údajov a určenie časov na uchovávanie podľa zákonných požiadaviek alebo potrieb organizácie.
  • Identifikácia a prioritizácia informačných systémov.
  • Definovanie pravidiel na ukončenie právneho základu spracúvania OÚ a následnú likvidáciu.
  • Definovanie procesno-organizačných opatrení (tzv. workarounds) na vykonávanie manuálnej likvidácie údajov.
     

05. Posúdenie vplyvu na ochranu údajov v zmysle čl. 35 nariadenia


V určitých prípadoch, ak spoločnosť spracúva alebo plánuje spracúvať citlivé osobné údaje alebo údaje vo veľkom rozsahu, prikazuje nariadenie posúdiť riziká konkrétnym spôsobom: vykonaním posúdenia vplyvu na ochranu osobných údajov („Data privacy impact assessment“ alebo „DPIA“) podľa čl. 35 nariadenia.

Pomocou nášho vlastného automatizovaného nástroja na DPIA môžeme vykonať posúdenie u vás alebo pre vás pripraviť a odovzdať vám prispôsobenú metodiku vo formáte Excel pre opakované posúdenia vo vašej réžii.


Výstup

  • Vykonanie posúdenia vplyvu našou metodikou, ktorá je založená na požiadavkách GDPR čl. 35 a usmerneniach skupiny WP29.
  • Návrh a dodanie vašej internej metodiky na posúdenie vplyvu osobných údajov vrátane vyhodnotenia, na ktoré účely je posúdenie potrebné.
     

06. Školenia pre zamestnancov a služby zodpovednej osoby 

Ochranu spracúvaných osobných údajov nedosiahne spoločnosť na papieri. Na zabezpečenie súladu sú potrebné primerané procesy a organizačné opatrenia. Tieto procesy musia zabezpečovať informovaní zamestnanci s vysokým povedomím o potrebe ochrany údajov.

Základným nástrojom je poskytnutie informácií zamestnancom prostredníctvom školení. Školenia, ktoré pripravujú a vykonávajú naši odborníci, majú podobu osobných prezentácií alebo elektronických školení. Cieľom je, aby vaši zamestnanci vedeli o praktických zásadách ochrany údajov a taktiež dodržiavali tieto zásady navonok vo vzťahu k vašim partnerom.

Výstup

Naši odborníci so skúsenosťami z praktickej implementácie GDPR poskytujú školenia v nasledujúcich oblastiach:

  • osobné školenia o základných princípoch GDPR,
  • osobné školenia zamerané na špecifické kategórie zamestnancov a prispôsobené vašim procesom (napr. pre zamestnancov, ktorí prichádzajú do styku so zákazníkmi a verejnosťou),
  • poskytnutie e-learningového školenia (samoštúdium) pre zamestnancov vrátane testu,
  • školenia pre zodpovedné osoby..
     

07. Postimplementačná revízia súladu a služby pre interný audit


Vedenie spoločnosti potrebuje informácie o miere súladu s GDPR a oblastiach, v ktorých sú spoločnosti vystavené najväčšiemu riziku.

Metodika posudzovania súladu môže taktiež poslúžiť ako pracovný program pre interný audit.

V súčasnosti neexistuje medzinárodne uznávaná metodika alebo štandard na vyhodnocovanie súladu s GDPR. Náš prístup je preto založený na vlastnej PwC metodike a vychádza z reálnych skúseností z množstva implementačných projektov, projektov informačnej bezpečnosti a auditov.


Výstup

Cieľom je:

  • Poskytnúť vedeniu informácie o výsledkoch implementácie a odporučiť prípadné nápravy.
  • Poskytnúť oddeleniu interného auditu škálovateľný nástroj na vyhodnocovanie súladu s GDPR.
     

Kontaktujte nás

Štefan Čupil

Štefan Čupil

Partner, Risk Assurance Leader, PwC Slovakia

Tel: +421 911 964 212

Follow us