Ako všeobecné nariadenie o ochrane osobných údajov (gdpr) pomáha skvalitniť politiku a postupy na správu registratúry

Blogy a články

Všeobecné nariadenie o ochrane osobných údajov (GDPR) prinútilo organizácie k zavedeniu prehľadov o zhromažďovaní, uchovávaní a riadení osobných údajov tak, aby bolo zaistené dodržiavania nariadených predpisov.

31. mája 20217 bremená
Iron Mountain logo with blue mountains

Všeobecné nariadenie o ochrane osobných údajov (GDPR) prinútilo organizácie k zavedeniu prehľadov o zhromažďovaní, uchovávaní a riadení osobných údajov tak, aby bolo zaistené dodržiavania nariadených predpisov. Legislatíva GDPR vyžaduje vypracovať novú politiku a zároveň vytvoriť priestor na predstavenie zavedených riešení. V súlade s princípom zodpovednosti je organizácia povinná okrem dodržiavania všetkých právnych zásad spracovávania osobných údajov vedieť tento súlad preukazovať a v prípade potreby danú politiku aj aktualizovať.

Účinným stimulom pre pravidelné aktualizovanie a posilňovanie politiky na správu registratúry v organizácii je hrozba sankcií vo výške prekračujúcej 20 miliónov eur.

Od mája 2018, kedy vstúpilo do platnosti GDPR, boli vydané rôzne vykonávacie predpisy a usmernenia, ktoré uľahčujú chápať pojmy súvisiace s danou legislatívou. Inými slovami povedané, vieme lepšie pochopiť ako danú problematiku interpretujú súdy a orgány na ochranu osobných údajov príslušné v danej krajine (na Slovensku je to Úrad na ochranu osobných údajov). Čo znamená nariadenie o ochrane osobných údajov (GDPR) pre správu registratúry ? GDPR sa netýka iba ľudí a organizácii v EÚ. Je zavedené celoplošne a zahŕňa všetky krajiny a regióny (napríklad aj Veľkú Britániu). Týka sa všetkých organizácii, ktoré ponúkajú tovary a služby obyvateľom a organizáciám Európskej Únie. Takisto sa týka organizácii, ktoré akýmkoľvek spôsobom sledujú správanie a pohyb ľudí (zákazníkov) na internete a tým o nich zbierajú osobné údaje.

Tak ako prevádzkovatelia spracovávaných dát (čiže organizácie, ktoré riadia spracovávanie osobných údajov a špecifikujú dôvody ich zhromažďovania), tak aj spracovatelia údajov (organizácie, ktoré konajú na základe pokynov prevádzkovateľov spracovávaných dát) patria k subjektom GDPR, musia konať v súlade s GDPR, ale ich povinnosti sú odlišné. To znamená, že všetky subjekty podnikajúce v online prostredí akýmkoľvek spôsobom musia vykonávať správu registratúry v súlade s GDPR.

Prijatie požiadaviek na dodržiavanie GDPR bolo pravdupovediac oneskorené vzhľadom na veľké množstvo porušení, ktoré predchádzali samotnému prijatiu nariadenia. Neustále vylepšovanie procesov a vysvetľovanie požiadaviek dáva priestor všetkým organizáciám na bezproblémové spracovanie osobných údajov a citlivých dát.

Aká by teda mala byť postupnosť krokov? Ako prvé by mala každá organizácia začať uvažovať kde a ako zbiera citlivé osobné údaje a aké sú postupy na zhromažďovanie osobných údajov v organizácii. Je potrebné posúdiť postupy zhromažďovania osobných údajov a získať súhlasy fyzických osôb s ich zbieraním. Súčasťou postupov by mala byť odpoveď na otázku ako sú údaje spracovávané, ukladané a vymazávané.

V súlade s GDPR by organizácia nemala uchovávať údaje dlhšie ako je nevyhnutné pre daný účel spracovania. Správa registratúry by mala zabezpečovať garanciu toho, že osobné údaje budú získavané, spracovávané, chránené a mazané podľa zásad nariadenia o ochrane osobných údajov.

Aktualizácia registratúrneho plánu podľa GDPR je však náročnejší proces. Je však nevyhnutné a výhodnejšie tento proces absolvovať ako čeliť vysokým sankciám. V konečnom dôsledku netreba brať GDPR ako záťaž, pretože aj organizácie tvoria ľudia, s ktorých údajmi sa pracuje. GDPR tým pádom upozorňuje na problém, ktorému pri spracovávaní osobných údajov čelia naozaj všetci.

S príchodom GDPR sa však problematika týkajúca sa ochrany súkromia nekončí. Po celom svete vzniklo veľa ďalších predpisov, ktoré majú za úlohu ochranu citlivých údajov. Ako príklad môžeme uviesť napríklad California Consumer Privacy Act (CCPA) z roku 2018 alebo novšia California Privacy Rights Act (CPRA) z roku 2020. Tento trend je globálny, čoho príkladom môže byť zákon POPI (Protection of Personal Information Act) schválený v Juhoafrickej republike z roku 2020.

V súvislosti so zvyšujúcim sa počtom rôznych formátov údajov a spôsobov, akým sa údaje využívajú, možno očakávať, že v budúcich rokoch sa budú predpisy týkajúce sa ochrany súkromia naďalej rozvíjať.

Účinným stimulom pre pravidelné aktualizovanie a posilňovanie politiky na správu registratúry v organizácii je hrozba sankcií vo výške prekračujúcej 20 miliónov eur.

Od mája 2018, kedy vstúpilo do platnosti GDPR, boli vydané rôzne vykonávacie predpisy a usmernenia, ktoré uľahčujú chápať pojmy súvisiace s danou legislatívou. Inými slovami povedané, vieme lepšie pochopiť ako danú problematiku interpretujú súdy a orgány na ochranu osobných údajov príslušné v danej krajine (na Slovensku je to Úrad na ochranu osobných údajov). Čo znamená nariadenie o ochrane osobných údajov (GDPR) pre správu registratúry ? GDPR sa netýka iba ľudí a organizácii v EÚ. Je zavedené celoplošne a zahŕňa všetky krajiny a regióny (napríklad aj Veľkú Britániu). Týka sa všetkých organizácii, ktoré ponúkajú tovary a služby obyvateľom a organizáciám Európskej Únie. Takisto sa týka organizácii, ktoré akýmkoľvek spôsobom sledujú správanie a pohyb ľudí (zákazníkov) na internete a tým o nich zbierajú osobné údaje.

Tak ako prevádzkovatelia spracovávaných dát (čiže organizácie, ktoré riadia spracovávanie osobných údajov a špecifikujú dôvody ich zhromažďovania), tak aj spracovatelia údajov (organizácie, ktoré konajú na základe pokynov prevádzkovateľov spracovávaných dát) patria k subjektom GDPR, musia konať v súlade s GDPR, ale ich povinnosti sú odlišné. To znamená, že všetky subjekty podnikajúce v online prostredí akýmkoľvek spôsobom musia vykonávať správu registratúry v súlade s GDPR.

Prijatie požiadaviek na dodržiavanie GDPR bolo pravdupovediac oneskorené vzhľadom na veľké množstvo porušení, ktoré predchádzali samotnému prijatiu nariadenia. Neustále vylepšovanie procesov a vysvetľovanie požiadaviek dáva priestor všetkým organizáciám na bezproblémové spracovanie osobných údajov a citlivých dát.

Aká by teda mala byť postupnosť krokov? Ako prvé by mala každá organizácia začať uvažovať kde a ako zbiera citlivé osobné údaje a aké sú postupy na zhromažďovanie osobných údajov v organizácii. Je potrebné posúdiť postupy zhromažďovania osobných údajov a získať súhlasy fyzických osôb s ich zbieraním. Súčasťou postupov by mala byť odpoveď na otázku ako sú údaje spracovávané, ukladané a vymazávané.

V súlade s GDPR by organizácia nemala uchovávať údaje dlhšie ako je nevyhnutné pre daný účel spracovania. Správa registratúry by mala zabezpečovať garanciu toho, že osobné údaje budú získavané, spracovávané, chránené a mazané podľa zásad nariadenia o ochrane osobných údajov.

Aktualizácia registratúrneho plánu podľa GDPR je však náročnejší proces. Je však nevyhnutné a výhodnejšie tento proces absolvovať ako čeliť vysokým sankciám. V konečnom dôsledku netreba brať GDPR ako záťaž, pretože aj organizácie tvoria ľudia, s ktorých údajmi sa pracuje. GDPR tým pádom upozorňuje na problém, ktorému pri spracovávaní osobných údajov čelia naozaj všetci.

S príchodom GDPR sa však problematika týkajúca sa ochrany súkromia nekončí. Po celom svete vzniklo veľa ďalších predpisov, ktoré majú za úlohu ochranu citlivých údajov. Ako príklad môžeme uviesť napríklad California Consumer Privacy Act (CCPA) z roku 2018 alebo novšia California Privacy Rights Act (CPRA) z roku 2020. Tento trend je globálny, čoho príkladom môže byť zákon POPI (Protection of Personal Information Act) schválený v Juhoafrickej republike z roku 2020.

V súvislosti so zvyšujúcim sa počtom rôznych formátov údajov a spôsobov, akým sa údaje využívajú, možno očakávať, že v budúcich rokoch sa budú predpisy týkajúce sa ochrany súkromia naďalej rozvíjať.

Elevate the power of your work

Get a FREE consultation today!

Get Started