Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.
Od 25. mája 2018 začnú platiť zmeny týkajúce sa ochrany osobných údajov. Toto nariadenie je tiež známe pod skratkou GDPR. Vedenie organizácií by nemalo čakať na poslednú chvíľu a na prípravu svojich zamestnancov, procesov a technológií by malo myslieť v predstihu.
Zavedenie zmien je všade iné. Obsahuje ale niektoré spoločné prvky. Ich uplatnenie niekde zaberie mesiace, niekde však i roky.
Čo sa zmení v samospráve
Samosprávu čakajú technické, procesné a organizačné opatrenia. Bude musieť nasadiť bezpečnostné riešenia na prevenciu, odhaľovanie, riešenie a hlásenie problémov.
Pre samosprávu a jej podriadené organizácie, ktoré bežne evidujú osobné údaje niekoľko tisíc obyvateľov a zamestnancov, predstavujú zmeny mesiace intenzívnej práce. Preto je veľmi dôležité začať čo najskôr. Vyhne sa tak potenciálnemu riziku vysokej pokuty.
Hlavné zmeny
Oznamovacia povinnosť pri porušení ochrany osobných údajov
Únik informácií, či neautorizovaný prístup k dátam sú inštitúcie povinné ohlásiť najneskôr do 72 hodín. A to Úradu pre ochranu osobných údajov. V niektorých prípadoch aj dotknutej osobe a subjektom.
Právo na vymazanie
Občania únie majú právo na vymazanie svojich osobných údajov zo všetkých databáz a systémov úradov. Ak už nie sú potrebné na účely, na ktoré boli poskytnuté.
Právo na prenos osobných údajov
Pri prenose a zdieľaní údajov medzi viacerými úradmi musia organizácie poskytnúť ich zabezpečený prenos. Právo na prenos potrebných informácií sa týka aj prechodu zamestnanca do inej inštitúcie.
Povinnosť zaviesť pseudonymizáciu a šifrovanie dát
Účelom je mať možnosť zbierať ďalšie údaje o občanovi bez toho, aby bolo nutné poznať jeho totožnosť.
Zabezpečiť monitorovanie ochrany osobných údajov
Povinnosť určiť Splnomocnenca pre ochranu osobných údajov. Jeho kompetenciou bude monitorovanie ochrany údajov. Má byť kontaktnou osobou pre dozorný orgán. Nezávislosť osoby musí byť garantovaná. Má podliehať len vedeniu organizácie.
Koho v organizácii sa zmeny priamo týkajú
Personálne oddelenie Nové pravidlá na evidenciu a prácu s osobnými údajmi zamestnancov.
Kontaktné centrá úradov Nové pravidlá na evidenciu, prácu a overovanie si osobných údajov občanov.
Oddelenia matriky a stavebných konaní Nové pravidlá na evidenciu, prácu a overovanie si osobných údajov občanov.
Oddelenie informačných technológií – Nové bezpečnostné kritériá na systémy, v ktorých sa osobné dáta ukladajú. – Zadefinovanie, zabezpečenie a monitoring prístupov k osobných dátam. – Prísnejšie zabezpečenie pred únikom osobných dát. – Zdieľanie vybraných osobných dát s externými organizáciami bude možné len v súlade s bezpečnostnými kritériami.
Manažment – Optimalizácia existujúceho alebo zavedenie nového bezpečnostného systému pre vybrané agendy. – Zriadenie nezávislého Splnomocnenca pre ochranu osobných údajov.
Ako sa pripraviť
Povedomie a zber informácií
Všetci pracovníci, ktorých sa príprava dotkne, by mali byť včas a presne informovaní o dôležitosti zmien. Zabezpečená by mala byť súčinnosť všetkých zainteresovaných.
Prvotný audit osobných údajov by mal odpovedať na tieto otázky: – Na ktoré činnosti sa v príslušnom úrade používajú osobné dáta? – Kde sa ukladajú? – Ako sú zabezpečené a ako sú zálohované? – Kto k nim má prístup a ako je monitorovaný? – Ako sú osobné dáta zdieľané v rámci úradu a externými organizáciami? – Kto je zodpovedný za stratu? – Sú súčasné IT systémy a procesy v súlade s novým nariadením? – Je úrad pripravený na nové práva osôb?
Určenie nezhôd
V tejto fáze je dôležité stanoviť oblasti, ktoré bude potrebné upraviť. Často je nevyhnutné upraviť procesy a spôsob spracovania citlivých dát. Tiež treba určiť oblasti s vysokým rizikom.
Z technologického hľadiska je nutné preveriť kompatibilitu IT systémov s novým nariadením. Hlavne prenos či vymazanie dát, ďalej praktické opatrenia typu skrátenie časových intervalov pri požiadavke o prístup k dátam.
Návrh opatrení
Analýza odhalí potrebu opatrení z hľadiska technológií a procesov. Odporučí primeraný spôsob monitorovania a spracovania citlivých dát.
Z technologického pohľadu môže ísť o posilnenie technických a bezpečnostných nástrojov. V niektorých prípadoch aj použitie šifrovacích technológií.
Z organizačného hľadiska bude potrebné vypracovať stratégiu a praktický manuál pre rôzne situácie. Najmä pravidlá pre monitorovanie verejných priestorov a návštev. Rovnako aj postup krokov v prípade neželaného úniku dát.
Zavedenie
Fáza zavedenia organizačných, procesných a technologických zmien. Tiež treba nastaviť bezpečnostné opatrenia. Pokiaľ možno prvky v systéme zjednodušiť, to je ideálna šanca pre takúto efektívnu zmenu. Dôležitá je aj aktualizácia bezpečnostnej politiky a vnútorných nariadení.
Komunikácia a prevádzka
Všetky zmeny je potrebné otvorene a zrozumiteľne komunikovať v rámci organizácie. Zároveň je nevyhnutné zabezpečiť pravidelnú aktualizáciu a testovanie prijatých opatrení.
