GDPR (General Data Protection Regulation) je nariadenie Európskeho parlamentu a Rady EÚ o ochrane osôb pri spracúvaní osobných údajov, ktoré nadobúda platnosť dňa 25.mája 2018. Dovtedy sa musia všetky firmy a organizácie na svete, ktoré spracúvajú osobné údaje o občanoch EÚ, zosúladiť s požiadavkami tohto nariadenia. V opačnom prípade na nich čakajú nielen výrazné pokuty, ale aj iné postihy.
V prípade, že ste podnikateľ, ktorý spracúva osobné údaje svojich zamestnancov, klientov či obchodných partnerov, používa dochádzkový alebo kamerový systém, prevádzkuje e-shop alebo užíva dáta na marketingové účely, mali by ste sa mať na pozore. Nové nariadenie Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov prináša nové princípy a stanovuje vyššie postihy pre firmy a organizácie. V prípade, že sa do stanoveného termínu nezosúladia s požiadavkami tohto nariadenia alebo ho akokoľvek porušia, môžu byť sankciovaní pokutou až do výšky 20 mil. EUR alebo do výšky 4% z celkového svetového ročného obratu, a to za každé porušenie tejto povinnosti.
Čo nové GDPR prináša ?
GDPR prináša hneď niekoľko nových princípov. Nariadenie zahŕňa už akékoľvek údaje, ktoré vedú k identifikovaniu osobných dát jednotlivcov, pričom sprísňuje pravidlá pre získanie platného súhlasu s ich použitím. Zavádza napr. povinné posúdenie dopadov na súkromie klientov, tzv. Data Protection Impact Assessment (DPIA). Ďalšou zmenou je menovanie zodpovednej osoby určenej ako dohľad nad ochranou údajov, tzv. Data Protection Officer (DPO), ktorá sa týka najmä orgánov štátnej správy, firiem, či organizácií, ktoré pravidelne a systematicky monitorujú a spracúvajú veľké objemy osobných údajov. Súčasťou nariadenia je aj vedenie záznamov spracovateľkých operácií súvisiacich s osobnými údajmi, oznámenie úniku osobných údajov, či nutnosť zakomponovať ich ochranu už do počiatočných fáz návrhov informačných systémov, ktoré majú osobné údaje spracovávať.
Ready/4GDPR s RKMC
Implementácia nariadenia do prostredia firmy alebo organizácie je pomerne náročná. Vyžaduje si kombináciu právnych, procesných a systémových znalostí a taktiež realizáciu vhodných opatrení s cieľom zosúladiť procesy a systémy s nariadením GDPR. Vzhľadom na to, že máloktoré firmy si dokážu zabezpečiť všetky tieto oblasti vlastnými ľudskými a odbornými zdrojmi, tím spoločnosti RKMC, spol. s r.o. pripravil komplexné riešenie tejto problematiky s názvom Ready/4GDPR. Toto riešenie, ktoré sa skladá z 3 fáz, komplexne pokrýva všetky oblasti firmy, ktorých sa GDPR týka.
Prvá fáza riešenia spočíva v audite ochrany osobných údajov, a to so zameraním na informačné systémy a s nimi súvisiace toky osobných údajov. Audit preverí spôsob ich ukladania a zabezpečenia, a to vrátane oprávnených osôb s prístupom k nim. Súčasťou auditu je aj získavanie súhlasov dotknutých osôb a tvorba záznamov o spracovateľských činnostiach.
Druhá fáza riešenia je zameraná na vypracovanie stratégie ochrany osobných údajov, a to už v súlade s požiadavkami GDPR. Medzi návrhmi opatrení je napr. vedenie záznamov o spracovaní osobných údajov, evidencia súhlasov dotknutých osôb, či komunikácia s dozorným orgánom.
Poslednou fázou je zabezpečenie samotnej implementácie opatrení do procesov a technických nástrojov zákazníka, v ktorých sa vyskytujú osobné údaje. V tomto kroku je dôležitá úzka spolupráca s odbornými útvarmi zákazníka a s dodávateľmi, či správcami ich jednotlivých informačných systémov.
Ready/4GDPR v systéme SAP
Spoločnosť RKMC, spol. s r.o. ako významný dodávateľ riešení a služieb podnikového informačného systému SAP dokáže vďaka svojim dlhoročným skúsenostiam implementovať nariadenie GDPR aj do tohto významného celosvetového softvéru. Cieľom implementácie je zavedenie opatrení zameraných na automatické zneprístupnenie osobných údajov, v špecifických prípadoch definovaných nariadením. Implementované nástroje riešia také opatrenia ako zavedenie politík pre automatické zneprístupnenie a/alebo výmaz osobných údajov, kópie produkčného systému na testovací systém bez osobných údajov, či vymazanie osobných údajov na základe požiadavky dotknutej osoby.
