Únik osobných údajov budú musieť firmy priznať

0 291
Ilustračná snímka. FOTO: TASR/AP

 

Od 25. mája budúceho roka začne byť účinné celoeurópske nariadenie uplatniteľné vo všetkých členských štátoch, a to regulácia GDPR (General Data Protection Regulation), ktorá zjednocuje a sprísňuje požiadavky na ochranu osobných údajov v EÚ.

Podľa audítora TÜV SÜD Slovakia Igora Straku pripravilo Slovensko k európskemu nariadeniu aj nový zákon o ochrane osobných údajov, ktorý je momentálne v pripomienkovom konaní. Podľa odhadov predkladateľov sa dotkne vyše pol milióna subjektov na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur.

Nariadenie aj slovenský zákon okrem iného vymedzujú po novom povolené účely spracovávania osobných údajov, sprísňujú formu udeľovania súhlasov dotknutých osôb so spracovaním údajov, rozširujú právo na vymazanie, stanovujú podmienky bezpečnosti spracovania údajov napríklad formou šifrovania, zavádzajú povinnosť poskytovať informácie o spracúvaných údajoch dotknutým osobám či popisujú postupy pri úniku osobných údajov.

Pri porušení pravidiel GDPR hrozí firmám pokuta do výšky 20 miliónov eur alebo do výšky 4 % z jej celosvetového obratu. Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dosahov.

Ak únik údajov predstavuje podľa posúdenia prevádzkovateľa vysoké riziko pre poškodené osoby, musí prevádzkovateľ informovať aj tieto osoby. Oznámenie by mal naformulovať jednoducho.

„Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hackeri zneužiť na vlastné obohatenie sa, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne,“ myslí si Straka.

Podľa neho väčšina spoločností na Slovensku neriadi informačnú bezpečnosť dostatočne a môže byť pre ne veľmi náročné splniť všetky nové pravidlá. Zavedenie GDPR bude vo firmách trvať 3 až 12 mesiacov. Lepšiu východiskovú pozíciu majú podľa Straku tie organizácie, ktoré majú zavedené medzinárodné normy v oblasti riadenia procesov (ISO 9001) a v oblasti informačnej bezpečnosti (ISO 27001).