GDPR, štyri písmená, ktoré pozná takmer každý, avšak málokto vie, aké práva a povinnosti mu z GDPR vyplývajú. Vyspovedali sme záhorácku firmu na tému ochrany osobných údajov: “Nenechajte nič na náhodu.” radí kolektív firmy securion. a jej zakladateľ, Frederik Ravas, ktorý sa v rámci práva špecializuje na túto oblasť.
Pre koho je GDPR smerodajné a aké subjekty mu podliehajú?
GDPR sa dotýka všetkých. Či sú to fyzické osoby, ktoré majú z legislatívy týkajúcej sa ochrany osobných údajov práva, alebo podnikatelia a orgány verejnej správy, ktoré majú v súvislosti s touto právnou úpravou povinnosti. Práve podnikateľov a subjektov, ktoré spracúvajú osobné údaje sa dotkla táto legislatíva najviac. Podnikatelia a iní spracovatelia museli vypracovať dokumentáciu, zaviesť procesy k ochrane osobných údajov, zabezpečiť ich bezpečnosť.
Na čo by si takéto subjekty mali dávať najväčší pozor?
Odpoveď na otázku, nemá svoje „naj“. GDPR a legislatíva definuje rozsah povinností, ktoré je potrebné plniť. Medzi nimi sú to povinnosti prijať dokumentáciu k ochrane osobných údajov, ktoré definujú postupy a procesy pri spracúvaní osobných údajov, prijať bezpečnostné opatrenia, ktorými sa chránia osobné údaje, ale aj iné dokumenty – napríklad zásady k ochrane osobných údajov, pripraviť súhlasy tam, kde je to potrebné, vypracovať záznam o spracovateľských činnostiach a tak ďalej. Tiež je potrebné reagovať na úpravy internej dokumentácie – pracovných zmlúv, pracovných poriadkov, prípadne iných smerníc.
Securion robí aj videoškolenia k ochrane osobných údajov.
Nájdete viaceré zaujímavé témy.
Príchod nariadenia GDPR spôsobil značný rozruch, aké zmeny nastali po jeho uzákonení?
Rozruch bol veľký, možno aj väčší ako bolo potrebné J. Tým, že sme tu mali zákon č. 122/2013 o ochrane osobných údajov – ako jeden z najprísnejších v rámci EÚ, neboli zmeny „fatálne“. Práve naopak, v niektorých prípadoch a pre tých, ktorí sa ochrane osobných údajov venovali poctivo, niektoré povinnosti odpadli – napríklad hlásiť informačné systémy Úradu na ochranu osobných údajov, či povinne vypracovať bezpečnostný projekt informačného systému v niektorých prípadoch.
Zmeny sa dotkli aj zodpovednej osoby pre oblasť ochrany osobných údajov, ktorá už nemusí povinne absolvovať skúšku na Úrade na ochranu osobných údajov. Na druhej strane, v niektorých prípadoch pribudla povinnosť vypracovať záznam o spracovateľských činnostiach, informovať o všetkých spracovateľských operáciách (aj tých, ktoré sú zákonnými a zmluvnými povinnosťami), či vykonať posúdenie(a) vplyvu na ochranu osobných údajov alebo vypracovať test(y) proporcionality.
Kedy ste sa s témou ochrany osobných údajov stretli po prvýkrát?
Ochranu osobných údajov som začal evidovať a venovať sa jej už počas štúdia na právnickej fakulte. Najprv vo forme voliteľného predmetu, neskôr v rámci svojej podnikateľskej činnosti v oblasti marketingu. Práve v tejto oblasti a v oblasti informačných technológií je prienik s ochranou osobných údajov veľmi citeľný. Technická bezpečnosť, udržateľnosť a obnoviteľnosť IT systémov je zároveň veľmi dôležitá. V niektorých segmentoch podnikania je základom spracovateľských operácií systémové spracovanie osobných údajov prostredníctvom softvérov, aplikácií. Prichádza k systémovému spracúvaniu osobných údajov. Vidíme teda nezanedbateľný prienik medzi právnou a IT oblasťou. Obe sú k ochrane osobných údajov potrebné.
Čo Vás na tejto problematike najviac zaujalo?
Sčasti som už zodpovedal v predchádzajúcej otázke, prienik medzi právom, IT a marketingom, čo je aj z pohľadu nášho podnikania prínosom. Ďalším faktorom je dynamika tejto oblasti v posledných rokoch. Mali sme relatívne prísny zákon o ochrane osobných údajov č. 122/2013. Tiež obsahoval nemalé sankcie pre podnikateľov, avšak v praxi naň spoločnosti reagovali minimálne. Celospoločenský „posun“ a rýchla doba si vyžiadala a stále vyžaduje aktualizáciu právnych predpisov v tejto oblasti. Tiež si treba uvedomiť, že ochrana osobných údajov nie je len o GDPR alebo ePrivacy (*pozn. predpis upravujúci ochranu osobných údajov v elektronických komunikáciách), ale aj o ochrane súkromia a tak ďalej. Ak sa na problematiku pozrieme všeobecnejšie, zástupcovia štátnych orgánov, spoločnosti, aplikácie, prehliadače o fyzických osobách „vedia“ takmer všetko – od ich identifikátorov, cez správanie pri online nákupoch.
Prečo ste sa rozhodli založiť spoločnosť securion.?
Súkromie je v dobe informačných technológií veľmi abstraktný pojem, a preto v sa v securione snažíme pozdvihnúť povedomie o tejto téme a apelovať na spoločnosti, aby sa k osobným údajom svojich zákazníkov správali zodpovedne. Preto vo firmách nastavujeme procesy tak, aby osobné údaje chránili a venovali sa téme komplexne. Na druhej strane, uľahčujeme firmám život správnym nastavením procesov a postupov, ako aj “uprataním” ich dát. Jednoducho, našou úlohou je pomôcť klientom odbremeniť administráciu ako aj zlepšiť komunikáciou vo vzťahu k ich zamestnancom alebo zákazníkom. Každý by mal mať právo na súkromie a byť schopný plne dôverovať značkám, ktorým svoje osobné údaje poskytuje, že s nimi narábajú v rámci zákonných ustanovení. V čase keď som pôsobil ako advokátsky koncipient bola téma ochrana osobných údajov mojou špecializáciou a neskôr som chcel pokračovať v tejto oblasti.
Aký je podľa Vás súčasný stav povedomia o GDPR na Slovensku a Záhorí?
Pri nadobudnutí účinnosti GDPR sa povedomie o tejto téme značne zvýšilo. Na druhej strane, po prehrmení počiatočného “boomu” sa mnohé spoločnosti prestali tejto problematike aktívne venovať. Stále sa v praxi stretávame s tým, že veľa spoločností sa GDPR dodnes nevenovalo, a to napriek vysokým pokutám v niektorých členských štátoch EÚ. Postupom času evidujeme nové usmernenia tak u nás, ako aj v zahraničí. Ďalší nárast povedomia o ochrane osobných údajov prinesie ePrivacy – pripravované nariadenie v oblasti spracúvania osobných údajov v elektronických komunikáciách. Týka sa “cookies”, lokalizačných a iných dát o užívateľoch rôznych komunikačných sietí. Zasiahne najmä digitálny marketing a práve spomínané elektronické komunikácie.
Je potrebné sa aktívne zaoberať problematikou ochrany osobných údajov?
Aj táto otázka má viacero pohľadov. V prvom rade, fyzické osoby by si mali dávať pozor na to, komu a aké osobné údaje poskytujú, využívať svoje právo na prístup k osobným údajom, prípadne na získavanie informácií od subjektov, ktoré spracúvajú ich osobné údaje. Svoje súkromie a osobné údaje by si mali strážiť a dbať na to, komu a aké informácie poskytujú (v mnohých prípadoch si ani neuvedomujú, že ide o osobné údaje). V spoločnostiach, kde poskytujeme v rámci našich firiem službu (UPVISION a securion.) zodpovednej osoby sa snažíme nastaviť procesy poskytovania informácií transparentne a tak, aby sme boli voči dotknutým osobám (pozn. voči tým osobám, ktorých osobné údaje sa spracúvajú) otvorení.
A spoločnosti, obce, orgány štátnej správy sa ochrane osobných údajov a GDPR venovať musia z pohľadu ich postavenia – prevádzkovateľov, ktorí spracúvajú osobné údaje fyzických osôb. Často však je GDPR brané ako povinnosť. My sa snažíme klientom ukázať, že GDPR prinieslo príležitosť, „upratať dáta vo firme“, nastaviť si celkovú bezpečnosť – nielen osobných údajov. Vnímať ochranu osobných údajov ako konkurenčnú výhodu, nie bolesť, ktorú musím vyriešiť. Jednoducho, ani prevádzkovatelia, ktorí spracúvajú osobné údaje by nemali nechať nič na náhodu a s témou sa vysporiadať. Skôr či neskôr sa to vráti – otázkou zostáva či pozitívne alebo negatívne. V celom procese je vypracovanie GDPR dokumentácie len jednou z častí.
Kde a akým spôsobom sa môžu naši čitatelia dozvedieť viac o téme osobných údajov a GDPR?
Možností je viacero, od sledovania právnych alebo IT portálov, ktoré sa témam venujú. Samozrejme, závisí od hĺbky informácií, ktoré hľadáte a úrovne vedomosti v tejto oblasti. V rámci securion. spracúvame jednotlivé témy na našom blogu – informácie si nájdu aj laici aj skúsenejší. Momentálne taktiež pracujeme na projekte, v rámci ktorého darujeme vybraným novým zákazníkom 10 hodín realizácie našich služieb zdarma. Týmto spôsobom chceme pomôcť spoločnostiam spraviť prvý krok do tematiky ochrany osobných údajov. Taktiež pripravujeme video-školenia, ktoré sú zdarma na našom YouTube securion. Zaujímavé informácie zdieľame aj na sociálnych sieťach a v našom newslettery.
