5 chybných predpokladov o GDPR
29.09.2017
Erika Slivová, Manažér kvality a IT procesov, ANASOFT
GDPR (General Data Protection Regulation) prináša zmeny v ochrane osobných údajov v podmienkach celej EÚ.
Ide o legislatívu, ktorá upravuje spracúvanie a manipuláciu s osobnými údajmi fyzických osôb.
Požiadavky vyplývajúce z GDPR sú záväzné od 25.5.2018.
S novou legislatívou sú spojené aj rôzne interpretácie firiem, ktoré často vedú k nepotrebnej administratíve.
Prinášame Vám najčastejšie chybné predpoklady
GDPR na nás nemá žiaden dopad, dôsledne sme naplnili požiadavky zákona 122/2013 Z.z.
OMYL, v skutočnosti je to takto:
GDPR prináša nové princípy, ktoré sa v aktuálne platnom zákone nenachádzajú. Naopak, niektoré prevažne administratívno-byrokratické povinnosti budú na Slovensku zrušené. Samostatnú pozornosť treba zamerať na technické zabezpečenie údajov počas celého spracovateľského cyklu a transparentnejšiu komunikáciu s dotknutými osobami, ktoré majú ľahšie vymáhanie svojich práv, napr. na informácie alebo podanie námietky k spracúvaniu ich údajov.
GDPR prináša väčšiu administratívnu záťaž
OMYL, v skutočnosti je to takto:
V súvislosti s GDPR na Slovensku akosi „zabúdame“ hovoriť, že od mája 2018 sa ruší viacero administratívnych úkonov, napríklad registrácia a nahlasovanie informačných systémov na Úrad na ochranu osobných údajov, skúšky zodpovednej osoby. Prichádza minimalizovanie rozsahu dokumentácie pre malé a stredné firmy s počtom zamestnancov do 250. GDPR prináša veľké pozitíva aj pre veľké subjekty, nakoľko majú vhodnú príležitosť nastaviť si jednotné procesy spracúvania osobných údajov naprieč celým koncernom.
Biometrické údaje je možné spracúvať až po osobitnej registrácii systému na Úrade
OMYL, po novom je to takto:
Od mája 2018 už nebude nutná žiadna registrácia informačných systémov na úrade. Prevádzkovateľ tak môže začať prevádzkovať takéto systémy, stačí mu k tomu nepr. preukázateľný súhlas dotknutej osoby a samozrejme splnenie požiadaviek GDPR na bezpečnosť spracovateľských operácií s citlivými údajmi na zabezpečenie ich ochrany.
Na požiadanie musíme vymazať všetky údaje o danej osobe, aj spätne
OMYL, v skutočnosti je to takto:
Potreba likvidácie údajov môže vychádzať z ukončenia účelu spracúvania údajov, ale aj z dvoch ďalších zdrojov. Prvým sú požiadavky archivácie, čiže končiaca sa doba uloženia údajov vychádzajúca z legislatívy resp. registratúrneho plánu daného subjektu. Druhý podnet na likvidáciu údajov môže vychádzať priamo zo žiadosti dotknutej osoby. Likvidáciu údajov na podnet dotknutej osoby je nutné vykonať len za predpokladu, že na spracúvaný rozsah údajov už neplatí zákonná povinnosť archivácie údajov. Subjekt je až potom povinný relevantné údaje vymazať alebo ich anonymizovať, a to na všetkých úložiskách a vo všetkých spracovateľských operáciách, na ktoré boli používané. V prípade zrušenia súhlasu dotknutej osoby nie je subjekt povinný údaje likvidovať, postačuje deaktivácia spracovateľských operácií súvisiacich so zrušeným súhlasom.
Používame dátové služby a softvérové produkty, ktorých autori prehlasujú súlad s GDPR a my tak automaticky spĺňame požiadavky tohto zákona
OMYL, v skutočnosti je to takto:
Tvorca SW produktu zodpovedá primárne za postupy návrhu a vývoja produktu, ktoré by mali byť v súlade s deklarovanými štandardami. Mal by tiež ponúkať prednastavené vlastnosti produktov a služieb zamerané aj na ochranu spracúvaných osobných údajov a následnú bezpečnosť počas prevádzky produktu a služieb IT. O tom, ako je produkt skutočne používaný, aké údaje sú zbierané, kto a ako s nimi manipuluje, zodpovedá prevádzkovateľ.
Príklad z praxe:
Tvorca SW produktu by mal v technickom návrhu architektúry produktu zahrnúť napríklad aj proces likvidácie vybraných osobných údajov. Ale vybavenie oprávneného podnetu na vymazanie údajov musí zabezpečiť samotný prevádzkovateľ.
Pozrite si prehľadné informácie o GDPR bez zdĺhavého čítania.
