Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.
Od 25. mája 2018 začnú platiť zmeny týkajúce sa ochrany osobných údajov. Toto nariadenie je tiež známe pod skratkou GDPR. Vedenie organizácií by nemalo čakať na poslednú chvíľu. Na prípravu svojich zamestnancov, procesov a technológií by malo myslieť v predstihu.
Zavedenie zmien je všade iné. Obsahuje ale niektoré spoločné prvky. Ich uplatnenie niekde zaberie mesiace, niekde však i roky.
Čo sa zmení vo fungovaní finančných inštitúcií
Oznamovacia povinnosť pri porušení ochrany osobných údajov Únik informácií, či neoprávnený prístup k dátam sú povinné ohlásiť najneskôr do 72 hodín Úradu pre ochranu osobných údajov. V niektorých prípadoch aj dotknutej osobe, či subjektom.
Právo na vymazanie Klienti majú právo na vymazanie svojich osobných údajov. Ak už nie sú potrebné na účely, na ktoré boli poskytnuté.
Právo na prenos osobných údajov Pri prechode klienta do inej finančnej inštitúcie musia pôvodné poskytnúť zabezpečený prenos osobných údajov. Právo na prenos sa týka aj prechodu zamestnanca.
Povinnosť zaviesť pseudonymizáciu a šifrovanie dát Účelom je mať možnosť zbierať ďalšie údaje o občanovi bez toho, aby bolo nutné poznať jeho totožnosť.
Zabezpečiť monitorovanie ochrany osobných údajov Stanoviť osobu, ktorá bude kompetentná za monitorovanie ochrany údajov. Zároveň bude kontaktnou osobou pre dozorný orgán. Nezávislosť osoby musí byť garantovaná. Podliehať má len vedeniu spoločnosti.
Koho sa nové nariadenie dotkne
Osobné oddelenie Nové pravidlá na evidenciu a prácu s osobnými údajmi zamestnancov a vonkajších spolupracovníkov.
Obchod a marketing Nové pravidlá na evidenciu a prácu s osobnými údajmi zákazníkov, novými prospektami a bývalými klientmi.
Pobočky a centrá zákazníckej podpory Nové pravidlá na evidenciu, prácu a overovanie si osobných údajov zákazníkov, nových prospektov a bývalých klientov.
Manažment Optimalizácia existujúceho alebo zavedenie nového bezpečnostného systému pre vybrané agendy, ktoré vyžadujú prácu s osobnými údajmi.
Zriadenie nezávislej kontrolnej pozície – Splnomocnenec pre ochranu osobných údajov. Dohliadať bude na správne zaobchádzanie s osobnými údajmi. Tiež hlásiť možné úniky dát alebo porušenie zákona.
Oddelenie informačných technológií a bezpečnostný tím Nové bezpečnostné kritériá na systémy, v ktorých sa osobné dáta ukladajú: – zadefinovanie, zabezpečenie a monitoring prístupov – prísnejšie zabezpečenie pred únikom.
Zdieľanie vybraných osobných dát s obchodnými partnermi a dodávateľmi bude možné len v súlade s bezpečnostnými kritériami.
Ako sa dobre pripraviť
Povedomie a zber informácií Pracovníci by mali byť včas a presne informovaní o dôležitosti a rozsahu opatrenia. Dôležitá je tiež súčinnosť všetkých zapojených strán.
Úvodný audit by mal odpovedať na tieto otázky: – Na ktoré činnosti sa používajú osobné dáta? – Kde sa osobné údaje ukladajú? – Ako sú zabezpečené a ako zálohované? – Kto k nim má prístup a ako je monitorovaný? – Ako sú osobné dáta zdieľané v inštitúcii a vonkajšími obchodnými partnermi či ďalšími inštitúciami? – Kto je zodpovedný za stratu osobných dát? – Sú súčasné IT systémy a procesy v súlade s novým nariadením? – Je inštitúcia pripravená na nové práva osôb?
Identifikácia nezhôd V tejto fáze je dôležité stanoviť oblasti, ktoré bude potrebné upraviť.
Je nevyhnutné odhaliť oblasti s vysokým rizikom.
Z technologického pohľadu je potrebné preveriť súlad IT systémov s novým nariadením – prenos či vymazanie dát ale aj nahlasovanie a riešenie bezpečnostných incidentov.
Návrh opatrení Na základe analýzy by mal vzniknúť návrh opatrení z pohľadu technológií a procesov. Tiež zodpovedajúci spôsob sledovania prístupu a spracovania citlivých dát.
Môže ísť o posilnenie technických a bezpečnostných nástrojov – pre niektoré prípady aj použitie šifrovacích zabezpečení.
Z organizačného pohľadu bude potrebné vypracovať stratégiu a praktický manuál pre rôzne situácie. Napríklad pravidlá pre monitorovanie verejných priestorov a návštev. Ale aj presný postup krokov v prípade neželaného úniku dát.
Zavedenie Samotné zavedenie organizačných, procesných a technologických zmien. Nastavenie bezpečnostných opatrení. Revízia bezpečnostnej politiky a vnútorných nariadení.
Komunikácia a prevádzka Prehľadná a zrozumiteľná komunikácia zmien. Pravidelná aktualizácia a testovanie opatrení.
