Od 25.5 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov, ktorý bude zohľadňovať požiadavky nariadenia Európskeho parlamentu a Rady EÚ, inak nazvaný aj GDPR (General Data Protection Regulation). Prináša veľké zmeny a podnikateľov čakajú nové povinnosti, za ktoré v prípade neplnenia hrozia likvidačné pokuty.
Osobný údaj je informácia, ktorá priamo alebo nepriamo identifikuje konkrétnu fyzickú osobu (napr. Meno a priezvisko, rodné číslo, číslo občianskeho preukazu alebo pasu). Čo sa týka emailu alebo telefónneho čísla je to zložitejšie. Záleží, či sa dá priamo spojiť s konkrétnou osobou (všeobecné telefónne čísla do organizácií alebo všeobecné emaily do kategórie osobných údajov nespadajú). Ďalšie typy osobných údajov:
Oznamovacia povinnosť porušenia ochrany osobných údajov:
Porušenie osobných údajov podľa GDPR znamená porušenie bezpečnosti, ktorá vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neopravnému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracovávajú, alebo neoprávnený prístup k nim. Tento incident je potrebné nahlásiť do 72 hodín od zistenia úradu na ochranu osobných údajov SR.
Je možnosť vyhnúť sa informovaniu dotknutých jednotlivcov zavedením primeraných bezpečnostných opatrení.
Zodpovedná osoba
V prípade, ak organizácia nemá určenú zodpovednú osobu, má povinnosť informovať Úrad na ochranu osobných údajov SR o systémoch obsahujúce osobné údaje (napr. newsletter).
Organizácie si môžu zabezpečiť zodpovednú osobu aj prostredníctvom právnickej osoby. Tým sa organizácia vyhne čiastočnej byrokracií.
Zodpovednú osobu musia mať nasledovné inštitúcie:
Zvýšenie pokút
Maximálna výška pokuty bude 20 miliónov eur, prípadne 4% celosvetového firemného obratu z predchádzajúceho roku, podľa toho, ktorá pokuta je vyššia. Okrem finančnej pokuty môže byť nariadené aj výmaz osobných údajov, zákaz spracovávania, oznámenie porušenia ochrany osobných údajov dotknutej osobe alebo pozastavenie toku údajov príjemcovi v tretej krajine.
Prísnejšie požiadavky na udelenie súhlasu pri spracovaní osobných údajov.
Súhlas musí byť poskytnutý jasným prejavom vôle, s jednoznačným vyjadrením súhlasu dotknutej osoby so spracovaním osobných údajov. Tento súhlas je nutné vedieť preukázať v prípade potreby.
Užívateľ má právo na vymazanie (právo byť zabudnutý)
V prípade, ak užívateľ požiada o vymazanie svojich údajov, musí poskytovateľ posúdiť, či je jeho požiadavka vhodná ( napr. ak boli získane nezákonne, údaje sa nepoužívajú na správny účel, nebol poskytnutý rodičovský súhlas). Ak je požiadavka vhodná má poskytovateľ mesiac na vymazanie údajov ( v zložitých prípadoch 3 mesiace). Okrem toho musí poskytovateľ informovať aj iných spracovávateľov, ktorí tieto údaje spracovávajú. V prípade ale ak by sa jednalo o veľmi finančne a technicky náročný proces nemusí sa tejto požiadavke vyhovieť.
Súkromie ako štandard
Ochrana súkromia musí byť komplexne zvažovaná už pri návrhu nových projektov. Prevádzkovateľ musí určiť primerané technické a organizačné opatrenia pre každú formu spracovania. Všetky nové projekty z hľadiska IT by mali byť šifrované, mali by sa vytvárať pravidelné zálohy a hlavne by sa malo dopredu určiť, ktoré informácie sú nevyhnutné a ktoré nie.
Prenosnosť údajov
Užívateľ bude môcť požiadať o prenos údajov od svojho pôvodného prevádzkovateľa k novému. Pôvodný prevádzkovateľ bude musieť jeho žiadosti vyhovieť a preniesť údaje v čo najkratšiu dobu (maximálne 1 mesiac) a bezplatne (jedná sa napríklad o presun emailov od jedného prevádzkovateľa k druhému). Žiadosť ale musí byť primeraná a opodstatnená. Transfer musí byť samozrejme zabezpečený, inak hrozí únik dát, incident a pokuta.
Nové požiadavky pre zmluvu so sprostredkovateľom
Pre sprostredkovateľov ( napr. účtovníci, právnici) pribudne nová povinnosť prepracovať zmluvy, tak aby zahŕňali:
Je odporúčané aby sprostredkovatelia nasadili šifrovanie, antivírusovú ochranu a aby používali zabezpečenú komunikáciu.
Pravidlo „one-stop-shop“
Pravidlo, ktoré sa týka poskytovateľov, ktorí fungujú vo viacerých štátoch. GDPR určuje, kto rieši dozor nad danou spoločnosťou – vedúce dozorné orgány a vedúce orgány. Vedúci dozorný orgán na Slovensku je Úrad na ochranu osobných údajov SR.
Medzinárodné prenosy dát
GDPR zásadne nemení byrokraciu, ktorá je spojená s prenosom osobných údajov mimo územia Európskej únie. Podľa cieľovej krajiny kam osobné údaje putujú bude potrebné podpisovať rôzne mnohostranové zmluvy a dohody.
Nasledujúci článok:
„ Aké sú možnosti spoločností splniť požiadavky GDPR?“
ZDROJE:
www.eset.sk
Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679
Oba štandardy poskytujú množstvo bezpečnostných kontrol, ktoré pomáhajú organizáciám chrániť svoje informácie. NIST a ISO/IEC 27001 sú kompatibilné a navzájom sa dopĺňajú. NIST poskytuje technické detaily pre implementáciu bezpečnostných kontrol, ktoré sú odporúčané v ISO/IEC 27001.
Zobraziť viac
V oblasti assessmentu existuje niekoľko aktuálnych trendov, ktoré odrážajú pokrok v technológiách, zmeny v pracovnom prostredí a potreby moderných organizácií. Moderné trendy v assessmente zahŕňajú digitalizáciu, dôraz na mäkké zručnosti, personalizované hodnotenie a využitie dátovej analýzy.
Zobraziť viac
Personalisti používajú headhunting na identifikáciu a oslovenie kandidátov, ktorí by mohli byť ideálne pre kľúčové pozície vo firme. Táto metóda je obzvlášť užitočná pre vysoko špecializované alebo strategické úlohy, kde je ťažké nájsť vhodných kandidátov iba prostredníctvom tradičných náborových kanálov.
Zobraziť viac
Pohľad na podnikanie sa dnes mení. Rozhodujúce nie sú len zisky, či spokojnosť klientov, ale aj prístupy a postoje podnikateľov a správanie sa spoločností. Zodpovedné podnikanie sa zameriava aj na aktívnu ochranu životného prostredia, zabezpečenie vhodných pracovných a sociálnych podmienok zamestnancov a klientov a vhodné zásady podnikania.
Zobraziť viac
