Splošna uredba o varstvu osebnih podatkov (GDPR)

Kako bo GDPR vplival na vašo politiko glede varnosti podatkov

OPRAVI TEST SKLADNOSTI PRENOS PRIROČNIKA - BREZPLAČNO

Je vaše poslovanje usklajeno z novo EU uredbo o varstvu podatkov?

Maja 2018 bo v veljavo stopila nova EU uredba o varstvu podatkov.

V kolikor uredba velja tudi za vaše podjetje morate začeti razmišljati o usklajevanju zahtev. Ta stran je namenjena razumevanju GDPR in zahtevam, ki jih uredba narekuje. Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR) bo veljala za vsa podjetja, ki poslujejo v Evropski uniji in obdelujejo kakršnekoli osebne podatke. Pravila uredbe so kompleksna, kazni za neusklajenost pa so visoke (do 20 milijonov evrov).

Ste na pravem mestu, da o uredbi izveste več!

https://encryption.eset.com/si/wp-content/uploads/sites/34/2016/08/calendar.png

Preverite naš brezplačen GDPR priročnik

ESET je s svojimi pravnimi svetovalci pripravil podroben priročnik, ki vam bo razkril kakšne spremembe nova EU regulativa prinaša za vaše podjetje.

https://encryption.eset.com/si/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Spletni test skladnosti

Ali vaša organizacija sledi regulativi?

Usklajevanje z uredbo GDPR, korak po korak

Posledice uredbe GDPR so kompleksne, zato smo proces usklajevanja strnili v tri osnovne skupine in več podskupin. Kliknite na vrstice v spodnjem diagramu in preverite informacije, ki vas zanimajo.

+Povzetek

Nekateri principi, ki jih uveljavlja GDPR so nadaljevanje obstoječe uredbe o varstvu podatkov, npr. poštenost, zakonitost in transparentnost; omejevanje uporabe, manjšanje količine podatkov, kvaliteta podatkov, varnost, integriteta in zaupnost.

GDPR vzpostavlja novi princip odgovornosti z upravljavcem , ki je odgovoren za usklajenost z navedenimi principi. GDPR dodaja tudi nekatere nove aspekte k obstoječim principom za zaščito podatkov:

Zakonitost, poštenost in transparentnost – osebni podatki morajo biti obdelovani na način, ki je transparenten za lastnika podatkov.

Omejevanje uporabe – Ob nekaterih izjemah se arhiviranje osebnih podatkov, ki je v javnem interesu, smatra kot združljivo s prvotnim namenom obdelave.

Shranjevanje – osebni podatki morajo biti shranjeni na način, ki omogoča identifikacijo določljivega posameznika , ko je to nujno za namene procesiranja osebnih podatkov.

Odgovornost – upravljavec je odgovoren za usklajenost z navedenimi principi.

+Zahteve za organizacijske ukrepe

GDPR zahteva implementacijo številnih ukrepov, ki zmanjšujejo možnost za izgubo ali zlorabo podatkov, poleg tega pa omogočajo, da dokažete, da varnost podatkov jemljete resno. Med nujnimi ukrepi za odgovornost so: ocena vpliva na zasebnost, revizije, pregledi varnostnih pravil, dnevniki aktivnosti in imenovanje pooblaščene osebe za varstvo podatkov (angl. data protection officer – DPO).

Uredba GDPR o varstvu podatkov od določenih organizacij zahteva imenovanje pooblaščene osebe za varstvo podatkov (DPO). Organizacije morajo kot DPO imenovati zaposlenega ali zunanjega svetovalca.

Če je vaše podjetje agencija z obsežno zbirko podatkov o uporabnikih boste morali najverjetneje imenovati pooblaščeno osebo za varstvo podatkov (DPO); pričakuje se, da bodo pristojne državne organizacije zagotovile smernice o zahtevah za to pozicijo.

Vaš DPO bo odgovoren za spremljanje usklajenosti z GDPR, svetovanje pri obveznostih, svetovanje o tem kdaj je potrebna ocena na vpliv zasebnosti in za kontakt z državnimi službami, ki so odgovorne za varstvu podatkov.

Koncept one-stop shop omogoča, da organizacija, ki je prisotna v večjem številu držav, ki so članice EU, komunicira le z enim nadzornim organom , kljub temu, da so pravila za morebitne pritožbe v tem primeru kompleksna.

+Procesi, procedure in pravila

GDPR zlorabo varnosti podatkov definira kot “kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.”

Gre za obsežno definicijo, ki ne razlikuje med tem ali je posameznik utrpel škodo ali ne. Če ste žrtev kršitve varstva osebnih podatkov, morate o tem takoj obvestili odgovorni državni organ, oz. najkasneje v roku 72 ur po odkritju kršitve.

Zlorabe podatkov vam lastnikom teh podatkov ni potrebno prijaviti, če ste v podjetju uveljavili ustrezne tehnične in organizacijske ukrepe kot je npr. šifriranje.

Pomemben del skladnosti z uredbo GDPR je vgrajeno in privzeto varstvo podatkov (angl. privacy by design) – vsak nov proces in izdelek zasnujte z natančnim upoštevanjem vseh zahtev o zasebnosti. Takšen pristop je prej veljal za dobro prakso, sedaj je to eksplicitna zahteva.

Ocena učinka v zvezi z varstvom podatkov je namenjena identifikaciji in zmanjševanju neskladij z regulativo GDPR.

GDPR tudi formalno zahteva oceno učinka na zaščito podatkov, upravljavec mora zagotoviti, da je bila ocena vpliva na varnost podatkov opravljena pred vsemi tveganimi procesi in aktivnostmi.

Če poslujete tudi mednarodno, so pravila in procesi vašega podjetja pri prenosu podatkov v države, ki niso članice EU zelo pomembna, saj so predvidene kazni za vse neskladnosti z regulativo ali za prenos podatkov v države, za katere Evropska komisija smatra, da ne zagotavljajo zadovoljiv nivo zaščite osebnih podatkov po sprejemu regulative GDPR.

+Zavedanje o varnosti podatkov

Zdaj je čas, da svojim zaposlenim začnete razlagati potrebo po skladnosti z regulativo GDPR. Začeti morate z načrtovanjem in revizijo procedur za skladnost s transparentnostjo in ostalimi zahtevami za zaščito podatkov z regulativo GDPR. To lahko zajema obsežna izobraževanja za vaš finančni in IT kader.

+Odgovornost – tehnični ukrepi

GDPR narekuje, da je upravljavec odgovoren za demonstracijo skladnosti z varnostnimi zahtevami, zato morate imeti postavljena jasna pravila s katerimi lahko dokažete skladnost s standardi. To lahko dosežete z rednim spremljanjem, revizijami in ocenjevanjem procesov za obdelavo podatkov, uveljavljanjem varnostnih mehanizmov in zagotavljanjem izobraževanj za zaposlene, ki morajo razumeti svoje obveznost. Biti morajo pripravljeni demonstrirati skladnost z regulativo kadarkoli to od njih zahteva odgovorni državni organ.

+Izguba podatkov – tehnični ukrepi

Pripraviti se morate na morebitno zlorabo varnosti podatkov (to je definirano kot “zloraba zaščite, ki pomeni nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani”) z jasnimi pravili in preverjenimi procedurami, ki omogočajo hitro reakcijo in obveščanje o zlorabi, ko je to potrebno.

Če zlorabe podatkov v primerih, ko je to potrebno ne prijavite, vas lahko doleti kazen. Prav tako boste kaznovani za samo zlorabo.

+Zagotavljanje pravic lastniku podatkov

GDPR določljivemu posamezniku , zagotavlja več pravic. Pozanimajo se lahko na primer katere informacije o njih se procesirajo, v določenih okoliščinah se jim zagotovi dostop do podatkov ter popravljanje podatkov v kolikor so napačni.

Eden od glavnih namenov GDPR je zagotavljanje pravic posameznikom. Zaradi tega se bodo spremenila pravila pri odgovarjanju na vprašanja posameznikov o njihovih podatkov, ki jih obdelujete. Zaradi tega boste morali uskladiti ustrezne procedure.

V večini primerov svojih odgovorov ne boste smeli zaračunati, za odgovor pa boste imeli mesec dni časa.

Pravica do biti pozabljen posameznikom omogoča , da od upravljavcev zahtevajo izbris njihovih podatkov, v nekaterih primerih tudi takoj, npr. ko je vprašljiva legalnost obdelave ali ko posameznik prekličejo svoj pristanek na obdelavo svojih podatkov.

Ta pravila veljajo tudi za tretje osebe s katerimi delite osebne podatke posameznikov.

GDPR oblikovanje profilov definira kot “vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika”; ostaja pa nekaj neznank glede tega, kako se bo uveljavljala pravica posameznika pri odločitvah avtomatizirane obdelave.

GDPR predstavlja novo pravico glede prenosljivosti podatkov, ki presega pravico posameznika do pristopa k podatkom v elektronski obliki, saj zahteva, da upravljavec podatke preda v strukturirani obliki, ki omogoča računalniško obdelavo.

Za to pravilo veljajo nekatere omejitve, saj npr. velja samo za osebne podatke, ki so obdelani avtomatizirano.

Evropska komisija želi pravice posameznikov izboljšati tudi z možnostjo omejevanja določene obdelave in pravico do pritožbe pri obdelavi osebnih podatkov v namene direktnega marketinga, vključno z profiliranjem aktivnosti za namene direktnega marketinga.

Ko se posameznik pritoži, se njihovi podatki ne smejo več obdelovati za namene direktnega marketinga, kontaktne podatke te osebe pa je potrebno dodati v ločeno skupino.

Organizacije morajo posameznike o njihovi pravici do pritožbe na obdelavo njihovih podatkov obvestiti eksplicitno in ločeno od ostalih informacij, ki jih morajo prav tako podati posameznikom.

+Komuniciranje informacij o zasebnosti (privoljenja, obvestila o procesiranju)

Zelo verjetno boste morali preveriti tudi način kako zahtevate, pridobite in shranite privolitev posameznika; privoljenje posameznikov za obdelavo njihovih osebnih podatkov mora biti enostavno tako za privoljenje kot za preklic , zajemati mora tudi razumljivo privolitev za obdelavo podatkov, prikrivanje in predhodno označena izbirna polja ne pomenita privolitve.

GDPR zagotavlja posebne pravice pri obdelavi osebnih podatkov otrok, še posebno pri odnosu s komercialnimi spletnimi storitvami kot je npr. socialno mreženje.

Zaradi tega bi morali razmisliti o robustnih mehanizmih za preverjanje starosti posameznikov in pridobitvi privoljenja od staršev oz. skrbnikov za obdelavo podatkov.

GDPR bo povečal obseg obvestil, ki jih boste dolžni posredovati posameznikom , npr. vašo pravno osnovo za obdelavo njihovih podatkov, čas hranjenja podatkov in njihovo pravico do pritožbo pri ustreznem državnem organu, če smatrajo, da z njihovimi podatki ravnate neodgovorno; GDPR zahteva, da te informacije posredujete na jasen in razumljiv način.

+Varnost podatkov (integriteta in zaupnost)

Zakonodaja GDPR ohranja varnostna načela iz obstoječe uredbe, med drugim: pravičnost, zakonitost in transparentnost; sorazmernost; kvaliteto podatkov, varnost, integriteto in zaupnost.

Zagotoviti morate, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo varnost, vključno z zaščito pred neavtorizirano ali nezakonito obdelavo in zaščito pred nenamerno izgubo, uničenjem ali poškodovanjem podatkov: “Upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje.”

Regulativa predlaga številne varnostne ukrepe, ki jih lahko upoštevate, da zagotovite varnost podatkov, vključno s psevdonimizacijo in šifriranjem osebnih podatkov; možnost zagotavljanja zaupanja, integritete, razpoložljivosti in odpornosti sistemov in storitev pri obdelavi osebnih podatkov; možnost obnovitve ter ponoven dostop do osebnih podatkov v sprejemljivem času v primerih fizičnih ali tehničnih incidentov; proces za redna testiranja, ocene in evalvacije učinkovitosti tehničnih in organizacijskih ukrepov pri zagotavljanju varnosti obdelave osebnih podatkov.

GDPR šifriranje specificira kot enega od pristopov, ki lahko zagotovi združljivost z nekaterimi obvezami regulative. Nekaj navedb:

Člen 32 – Varnost obdelave

“1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavcem in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno: (a) psevdonimizacijo in šifriranjem osebnih podatkov […]”

Člen 34 – Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

“3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev: (a) upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje […]”

+Dokumentiranje, zakonska osnova in revizija

Imeti morate zabeleženo katere osebne podatke hranite, od kje so prišli in s kom jih delite.

Če imate netočne osebne podatke in jih delite z drugo organizacijo, zakonodaja GDPR predvideva, da tej organizaciji sporočite o netočnostih v podatkih, da lahko popravijo podatke v svojih zapisih. Da bi to lahko storili, bo morda potrebno opraviti revizijo informacijskih podatkov preko celotne organizacije ali samo po posameznih področjih. S tem boste tudi bolj skladni z GDPR načelom odgovornosti.

GDPR zahteva, da natančno preverite kako se v vašem podjetju osebni podatki procesirajo in identifikacijo zakonske osnove na podlagi katere izvršujete te procese.

To je potrebno, ker bodo lahko pravice posameznikov z odredbo GDPR spremenjene v odvisnosti od pravne osnove za procesiranje njihovih osebnih podatkov. Takšen primer so osebe, ki bodo imeli večjo pravico do brisanja podatkov, ko je njihovo strinjanje vaša pravna osnova za obdelavo. Strinjanje pa je le eden od različnih načinov za legitimizacijo obdelave in mogoče niti ni najboljši (osebe lahko strinjanje prekličejo).

Informacije, ki so predstavljene na tej spletni strani ne predstavljajo pravnega mnenja, uporabniki naj se ne zanašajo na njihovo točnost pri sprejemanju finančnih ali poslovnih odločitev. Podjetji ESET ali SI SPLET ne bosta odgovarjali za morebiten rezultat takšnih odločitev. Vedno poiščite neodvisno pravno mnenje.

Pridružite se nam na GDPR webinarju

Pogovorite se s strokovnjaki in izvedite kako bo nova Splošna uredba o varstvu osebnih podatkov vplivala na vaše poslovanje. ESET bo izvedel več webinarjev, kjer bodo predstavili izzive novih GDPR pravil. Webinarji so brezplačni: prijavite se spodaj in mi vas bomo povabili k naslednjemu dogodku.

Več kot 80% podjetij ni pripravljeno na GDPR

Vprašalnik, ki so ga izvedli neodvisni analitiki družbe IDC, je pokazal, da večina srednje velikih in malih podjetij ni pripravljena na GDPR. IDC je v analizo vključil IT strokovnjake iz več kot 700 podjetij. Ugotovili so, da razumevanje nove regulative ostaja nizko.

Za več informacij- in več o GDPR – pridobite celovito IDC poročilo, omogoča ESET:

Razumevanje vpliva GDPR

25% brez | 52% omejeno | 22% celovito

Zaradi zagotavljanja najboljše možne uporabniške izkušnje uporabljamo piškotke. Več informacij.

V redu