Informácie pre členov SKSI
Vážení členovia SKSI,
na základe zmeny legislatívy v oblasti ochrany osobných údajov a na základe Vašich požiadaviek o pomoc pri objasnení danej problematiky v súvislosti s výkonom autorizácie, odbornej spôsobilosti a s podnikaním Vám ponúkame informácie a možnosti ako postupovať. Vzhľadom na špecifické podnikateľské podmienky každého z Vás, je nutné aby si každý preveril osobitné podmienky a bral informácie s určitou toleranciou. Rozsah, ktorý je pre niekoho potrebný, pre iného môže byť nedostatočný alebo nadbytočný.
Čo je to vlastne GDPR?
GDPR je medzinárodná skratka – General Data Protection Regulation, teda v Slovenskom právnom preklade – ochrana osobných údajov.
História GDPR?
V 60-tych rokoch európske spoločenstvo vypracovalo a stanovilo Európske nariadenie, ktoré bolo pre členské štáty záväzné, čiže táto problematika je už dostatočne dlho na „svete“. Tak, ako sa všetky legislatívne predpisy ďalej rozvíjajú, nastal čas aj pre rozvoj GDPR. Aktuálna verzia GDPR má označenie 2016/679 z 27.apríla 2016. V Slovenskej legislatíve je to aktuálne zákon č. 18/2018 Z. z. vyhlásený 30.01.2018 a účinný od 25.05.2018. Pre spracúvateľa osobných údajov teda platia oba právne predpisy, sú však obsahovo zosúladené, takže keď sa plní Slovenský zákon, Európske nariadenie je tiež naplnené.
Ktorá inštitúcia zastrešuje GDPR na Slovensku?
Úrad na ochranu osobných údajov Slovenskej republiky je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov. Pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
https://dataprotection.gov.sk/uoou/
Filozofia GDPR?
Podnetom pre jeho aktualizáciu je informačná doba, v ktorej sa už nachádzame. Ide hlavne o rozvoj zdieľanej ekonomiky, priemyselnej revolúcie Industry 4.0 a internetu vecí. Všetky tieto kľúčové faktory rozvoja ľudstva, stavajú svoje piliere na informáciách. Informácie môžeme v princípe rozdeliť na verejné a dôverné. A toto rozdelenie môžeme previesť z pohľadu odborného alebo pohľadu právneho.
Koho sa formálne netýka GDPR?
Nikto Vám v rámci dodržiavania zákonných nariadení, nemôže zakázať dať svoje osobné údaje (dátumy narodenia, fotografie...) napr. na sociálnu sieť. Je na Vás, čo a v akom rozsahu o sebe zverejníte. Toto však platí iba v prípade, keď sa jedná o súkromný účel. Podľa § 3 ods. 5, písmeno a) zákona č. 18/2018 Z. z.: Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti.
Koho sa formálne týka GDPR?
Ako základná nutná úroveň, je právny pohľad na dôverné informácie spracovávané v podnikateľskom prostredí na služobno – pracovný účel. Pokiaľ sa jedná o služobný – pracovný účel, vzniká Vám povinnosť osobné údaje chrániť. Podľa § 3 ods. 4, písmena a) zákona č. 18/2018 Z. z.: Tento zákon sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt, je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky.
GDPR sa teda týka aj SZČO, jednočlenných s.r.o., občianskych združení a všetkých ostatných registrovaných subjektov.
Keď sa nás formálne GDPR týka, ako ho teda splniť?
V princípe existujú dve možnosti:
1) Implementovať a udržiavať si GDPR svojpomocne (výhoda sú nižšie počiatočné náklady, nevýhoda je vysoká pravdepodobnosť neodbornosti zavedeného systému, pokiaľ sa nezaoberáte oblasťou bezpečnosti)
2) Implementovať a udržiavať si GDPR externe (výhoda, že svoj čas venujete svojej odbornej časti podnikania, nevýhoda vo vyšších počiatočných nákladoch)
Aký je postup zavedenia GDPR?
V princípe GDPR má dve vývojové štádiá:
1) Implementácia – analýza skutkového stavu spracovávateľa dôverných údajov a vytvorenie optimálneho systému pre efektívnu správu osobných údajov
2) Správa – už udržiavanie a samotné napĺňanie požiadaviek súvisiacich zo spracovávaním osobných údajov
Čo má GDPR obsahovať?
Základom GDPR je informačný systém. Informačný systém je skupina, v ktorej sa nachádzajú informácie (nás zaujímajú osobné údaje, ale kto chce svoje GDPR pozdvihnúť na vyššiu úroveň, pre neho sa môže jednať o akékoľvek dôverné informácie, napr. samotné projekty, kde sú zakreslené bezpečnostné systémy, odborné databázy atď.). Informačný systém môže mať podobu papierovú alebo elektronickú (prezenčka zo školenia, šanon zo zákazníkmi, dátová zložka v PC, kamerový záznam, e-mail, plánovací kalendár, kontakty v telefóne...samozrejme, to všetko platí aj pre cloud).
Osobné/dôverné údaje sa spracovávajú, čo znamená, že prechádzajú tromi štádiami:
1) Získavanie osobných údajov (zber údajov do informačného systému)
2) Využívanie osobných údajov (používanie osobných údajov v informačnom systéme)
3) Likvidácia osobných údajov (odstránenie osobných údajov z informačného systému)
Pre každý informačný systém, musia byť vypracované a dodržiavané bezpečnostné postupy. Nariadenie a zákon prikazuje postupy spravovať odborným spôsobom, s odvolávaním sa na odborné predpisy a bezpečnostné štandardy (normy, zákony...). Napríklad musí byť vykonaná analýza rizík podľa ISO 27000 so stanovením opatrení na ich elimináciu. V praxi teda musí byť zvážené, či sa osobné údaje nachádzajú napr. v priestoroch, kde sa nachádzate trvale (súkromný byt/dom v ktorom máte aj podnikateľské sídlo, alebo ste v prenájme v polyfunkčnom objekte, kde za sadrokartónovou priečkou ani netušíte, kto sa tam nachádza). Taktiež musí byť zvážené, kto má prístup k osobným údajom, či iba Vy, alebo aj Vaši zamestnanci/zmluvný živnostníci/externý dodávatelia (účtovníčka, servis IT, EZS, CCTV, upratovačka...). Za všetkých v princípe zodpovedá právny zástupca subjektu, ktorý osobné údaje spracúva – teda Vy.
Z uvedeného je jasné, že implementácia GDPR sa nedá dobre spraviť systémom „CTRL+C“ a „CTRL+V“. Je potrebné GDPR implementovať aj z pohľadu právneho (napísanie oprávnení, zmlúv, splnomocnení...), aj z pohľadu bezpečnostného (analýza rizík, realizácia technických opatrení, kontrola a nastavenie IT siete, pravidlá pre fyzickú a objektovú bezpečnosť...).
Samotnú obsluhu vašich informačných systémov robíte Vy, podľa schválených pravidiel vášho GDPR systému.
Je to moc zložité, nebaví ma to, neviem to dobre spraviť, nemám na to čas – čo s tým, koľko ma to bude stáť?
V tomto prípade je odporúčanie na vykonanie implementácie GDPR systému externým dodávateľským spôsobom.
Časovo to trvá pri jednočlenných „firmách“ od jedného týždňa do jedného mesiaca, zo zväčšujúcou sa organizáciou aj napr. jeden rok (500 pracovníkov a viac).
Ekonomicky je to pri jednočlenných „firmách“ „rádovo v 100,- Eurách“, pri väčších organizáciách násobne viac. Všetko je závislé od rozsahu organizácie a špecifických podmienok, ktoré sa zisťujú fyzickou obhliadkou, inak nie je možné zodpovedne GDPR nastaviť pre potreby konkrétnej organizácie.
Ako nám pomôže SKSI?
Je jasné, že vzhľadom na veľký počet členov, nedokáže SKSI vypracovať jednotnú mustru GDPR a zároveň všetkých uspokojiť v odpovediach. Preto SKSI do budúcna ponúkne zoznam potenciálnych externých poskytovateľov na implementáciu GDPR. Môžete sa sami slobodne rozhodnúť, akého poskytovateľa si vyberiete. Individuálne sa s potenciálnym poskytovateľom dohodnete na podmienkach a možnostiach.
Prípadová štúdia pre členov SKSI