Už 25. 5. 2018 vojde do účinnosti dlho pripravovaná legislatíva EÚ, ktorá organizáciám špecifikuje nové pravidlá pre nakladanie s osobnými údajmi klientov, potenciálnych zákazníkov, dodávateľov či zamestnancov. Cieľom tohto nariadenia je ochrana digitálnych práv obyvateľov Európskej únie. Smernica sa vzťahuje na dáta osôb v rámci všetkých segmentov a odvetví.

Čo sú to osobné údaje?

Medzi osobné údaje patrí napríklad: meno, adresa, geografická poloha, elektronický identifikátor (preukaz totožnosti v digitálnom prostredí), zdravotné údaje, príjem, kultúrny profil a ďalšie.
So zvyšujúcou sa mierou digitalizácie je omnoho jednoduchšie zbierať dáta o jednotlivých používateľoch, často nám ani nenapadne, čomu sa neopatrným zdieľaním informácií o svojej osobe môžeme vystaviť. Ústretovo vyplňujeme kolónky e-shopov, používame najrôznejšie vernostné karty, odpovedáme na rozličné ankety, plníme sociálne siete záležitosťami svojho súkromného života. Naše informácie sú zatiaľ rozdrobené u čiastkových správcov týchto databáz, ale hrozba toho, že sa všetky údaje o konkrétnom človeku spoja do jedného uceleného obrazu, je desivá a čím ďalej tým viac aktuálna. Tomuto riziku sa snažia zákonodarcovia zabrániť určením hraníc pre získavanie a uchovávanie osobných údajov, teda v rámci GDPR (General Data Protection Regulation).

Koho sa GDPR týka?

GDPR sa netýka len inštitúcií, ale aj jednotlivcov či online služieb, ktoré pracujú s dátami používateľov – napr. tých, ktorí sledujú či analyzujú správanie ľudí na webe pri používaní aplikácií alebo inteligentných technológií. Ďalšou skupinou sú predajné databázy, vďaka ktorým marketéri cielene oslovujú príjemcov reklamy podľa veku, pohlavia, záujmov, profesie a ďalších kritérií. Balíčky kontaktov boli vždy cenným artiklom jeho vlastníka, pre ich ďalšie využitie však bude nutné znovuobnovenie súhlasu v rámci regúl GDPR, a to vedomým zaškrtnutím zvolenia so zasielaním obchodných oznamov. Pokiaľ toto vlastník databázy nezíska, musí kontakty zmazať. Mnoho firiem môže na tomto stratiť predmet svojho podnikania.

Kto je „Data Protection Officer“?

Firmy, ktoré konajú ako správcovia údajov (alebo zamestnávajú viac než 250 osôb), by mali v rámci úspešného zvládnutia GDPR zriadiť pozíciu nezávislého „poverenca pre ochranu osobných údajov“ (Data Protection Officer), ktorý by zodpovedal za to, že bude mať spoločnosť všetko dobre nastavené a priebežne dodržuje nariadenie GDPR. Poverenec bude tiež zabezpečovať komunikáciu s dozornými orgánmi, najmä Úradom na ochranu osobných údajov. Zriadenie pozície DPO sa týka takisto menších firiem, ktoré spracovávajú osobné údaje: 1) ako verejný orgán; 2) ako svoju hlavnú činnosť spočívajúcu v operáciách pravidelného a systematického sledovania subjektov – napr. sledovanie on-line správania používateľov; 3) z oblasti citlivých kategórií (zdravotné dáta, biometrické údaje, trestný register atď. Tento odborník by mal poznať prostredie IT, keďže GDPR je spojené so zavedením digitalizácie dokumentov, tie sú potom elektronickou formou spracovávané, uchovávané a skartované. Pokiaľ firma nemá povinnosť DPO mať, napriek tomu by mala poveriť určitú osobu či oddelenie, ktoré bude mať nové nariadenia týkajúce sa správy osobných údajov na starosti.

Čo je „princíp preukázateľnej zodpovednosti“?

Medzi povinnosti GDPR patrí takzvaný princíp preukázateľnej zodpovednosti (accountability), čo znamená priebežnú dokumentáciu o dodržiavaní regúl GDPR a schopnosť doloženia plnenia týchto pravidiel. Toto opatrenie sa týka firiem nad 250 zamestnancov (menších len v prípade spracovateľov citlivých údajov, štátnych organizácií a firiem sledujúcich on-line správanie).

Finančné dopady GDPR

Je potrebné si uvedomiť, že agenda GDPR bude nemalou mierou zaťažovať firemný rozpočet. Bude nutné investovať do potrebného softvéru a zaplatiť ľudský faktor pre jeho implementáciu či sprievodné poradenstvo. Prejavia sa tiež vyššie personálne náklady – v prípade povinnosti pozície DPO. Všetky zmienené výdavky môžu byť pre menšie firmy likvidačné. Náklady na GDPR budú firmy pravdepodobne rozpúšťať do svojich produktov či služieb, čo bude mať za následok ich zdražovanie a s tým súvisiacu menšiu konkurencieschopnosť európskych firiem voči východným (napr. ázijským), ktorých sa európske nariadenie netýka (dotkne sa však spoločností a inštitúcií mimo územia EÚ, ktoré na európskom trhu pôsobia).

Nevystavujete sa pokute?

Splnenie všetkých požiadaviek GDPR je beh na dlhú trať, kto ešte s GDPR nezačal, lehotu dozaista nestihne, je potrebné aspoň zostaviť plán a začať príslušné firemné procesy. Pokiaľ kontrolné orgány po 25. 5. 2018 zistia, že je firma v systematickom zodpovednom procese zavádzania GDPR, nebude postihnutá takými sankciami ako v prípade, že s opatreniami ešte nezačala. A aká je výška pokuty? Pokiaľ by spoločnosť nebola schopná doložiť svoj súlad s GDPR, vystavuje sa riziku sankcie až do výšky 20 miliónov eur alebo 4 % z celosvetového obratu skupiny za predchádzajúci finančný rok, podľa toho, ktorá suma bude vyššia. Podľa prieskumu spoločnosti Gartner nebude do konca roku 2018 v plnom súlade s nariadením GDPR cca 50 % firiem.

Kde hľadať pomoc s GDPR?

Vzhľadom na nároky GDPR na informačné systémy sú pre firmy kľúčovými partnermi IT dodávatelia a integrátori, keďže príslušné opatrenia nie je možné zvládnuť inou než elektronickou/softvérovou cestou. Spoločnosť IXTENT je pripravená vám v tejto problematike pomôcť, zmeníme váš podnik na digitálny a nastavíme vám potrebné elektronické procesy na splnenie smerníc GDPR.

Čo je predpokladom úspešného zvládnutia GDPR?

„Je dôležité zaviesť opatrenia retenčnej politiky, kvôli pravidelnej a riadenej skartácii. Dáta by nemali byť uchovávané dlhšie, než je pre splnenie účelu nutné,“ hovorí Roman Knapp, obchodný riaditeľ IXTENT s.r.o. Je teda potrebné: definovať politiku, čo sa týka nastavenia retenčných lehôt na všetky nosiče osobných údajov spracovávaných v organizácii; nastaviť a používať administratívne a IT procedúry v súlade s touto politikou; zaistiť, aby informácie o bývalých zákazníkoch, zamestnancoch či obchodných partneroch boli pravidelne a rutinne mazané zo systémov.“

Viete, že osobné údaje sa nachádzajú aj na faktúre či dodacom liste?

Osobné informácie sú uložené v rôznych formátoch: obchodná a pracovná komunikácia obsahuje neštruktúrované informácie v dokumentoch, naopak, obchodné procesy vytvárajú štruktúrované dáta. Osobné údaje obsahujú napríklad: HR záznamy, logistické dokumenty, zmluvy a objednávky, marketingové materiály, dáta výberových konaní, dáta dodávateľsko-odberateľského reťazca. Tieto dáta musia byť vymazané po tom, ako dôvod pre ich uloženie pominul.

Aký softvér pre GDPR vybrať?

Na tieto účely je vhodný takzvaný Records Management, súčasť platformy OpenText, nástroj pre riadenie životného cyklu neštruktúrovaných informácií (umožňuje vytváranie archivačných plánov, nastavenie retenčnej politiky, aplikáciu „zmrazenia“ dát, vyhľadávanie všetkých archivovaných informácií). Platforma je ideálnym pracovným prostredím pre Records Managera/Data Protection Officera), ktorý má mať v rámci firmy GDPR na starosti, umožní mu nastavenie jednotlivých pravidiel a kompletnej politiky, správu retenčných periód, vyhľadávanie a „zmrazenie“ dát či reporting.

Rozširujúcim doplnkom tohto softvéru je Ixtent Smart Document Flow, ktorý v súvislosti s GDPR umožňuje užitočné nadstavbové funkcie, ako napr. určenie pravidiel automatického výmazu dokumentov; logický i fyzický výmaz dokumentov; jednoduché nastavenie práv pre jednotlivé skupiny dokumentov či používateľov atď.

Zhrnutie

EÚ svojimi novými nariadeniami smeruje k podpore digitalizácie. Z pohľadu GDPR je nutné pamätať aj na osobné údaje uvedené v dokumentoch, nielen v databázach. Ixtent je technologicky pripravený na požiadavky GDPR práve v oblasti dokumentov, a to nástrojom OpenText Records Management, ktorý je základnou súčasťou platformy pre správu dokumentov. Predpokladom úspešnej implementácie GDPR je prechod na elektronickú verziu dokumentov. Riešenie IXTENT je schopné zabezpečiť rôzne zdroje neštruktúrovaných dát a informácií. Komplexné pokrytie požiadaviek GDPR zaistíme v spolupráci so systémovým integrátorom (nadstavbou Ixtent Smart Document Flow). Pre úvodné aj následné právne konzultácie sprostredkujeme odborníka na právne otázky GDPR.

Požiadajte u nás ešte dnes o spoľahlivé riešenie, ktoré vám zaručí úspešné zvládnutie nariadenie GDPR!