STRATÉGIA A SÚLAD S NARIADENÍM GDPR

Posted on by PeterVe

PERSONAL DATA PROTECTION ACCORDANCE WITH GDPR

Orsolya Kürti

Abstract

   The aim of the article is to characterize the use of the GDPR regulation in the European union. The work will deal with the practicl use of the regualtion, ho w i tis implemented by companies and what changes it brings to GDPR users on the internet. Also what should be the best way to implmenet the regulation by various sources.

Key words: GDPR, GDPR usage

Abstrakt

   Cieľom článku je charakterizovať použitie nariadenia GDPR v Európskej únii. Práca sa bude zaoberať praktickým využitím regulácie, ktorú implementujú spoločnosti, a zmenami, ktoré prináša používateľom GDPR na internete. Aký by mal byť najlepší spôsob implementácie nariadenia z rôznych zdrojov.

Kľúčové slová: GDPR, použitie GDPR

Úvod

   Táto práca sa bude zaoberať používaním nariadenia GDPR na internete. V práci sa rozoberie používanie firmami, aké zmeny GDPR prinieslo po jeho prijatí v roku 2018, a aké sú najlepšie rady pri aplikovaní GDPR v korporátnej štruktúre[5]. Práve GDPR  sa považuje za prelomové nariadenie, ktoré spôsobilo zvrat v tom, ako používame náš internet, a ako sme na internete chránený.[1] Toto ale prinieslo veľa nových výziev a zodpovednosti pre spoločnosti, ktoré narábajú s citlivými a osobnými údajmi používateľov. GDPR predstavuje zmenu v zhromažďovaní, ukladaní a používaní osobných údajov používateľov a klientov firiem. Práve preto je dôležité aby toto nariadenie bolo aplikované správne a by sa predišlo zbytočným pokutám, ktoré môžu byť veľmi vysoké[8].

Spotrebiteľský prieskum

   V roku 2018 uskutočnili prieskum medzi viac ako 7 000 spotrebiteľmi v siedmich krajinách EÚ s cieľom zistiť, ako môžu zákazníci reagovať na nové nariadenia, a pomôcť podnikom predvídať, ako plánujú zákazníci využiť svoje nové právomoci, ktoré prídu v máji 2018[6]. Spotrebitelia zdôraznili potrebu na zavedenia systémov, dodržiavania predpisov, ale aj nástrojov na zapojenie zákazníkov, ktoré dokážu pochopiť kontext interakcie a poskytnúť transparentnosť, aby pomohli posilniť dôveru u spotrebiteľov. Z prieskumu sme dozvedeli, že 89% spotrebiteľov v EÚ chce vidieť údaje, ktoré o nich spoločnosti uložili. 82% spotrebiteľov v EÚ plánuje uplatniť svoje nové práva na prezeranie, obmedzenie alebo vymazanie zhromaždených informácií. 93% spotrebiteľov v EÚ uviedlo, že vymažú svoje osobné údaje, ak by im nevyhovovalo, ako si mysleli, že ich spoločnosti použili[4].

Nariadenie GDPR

   Od nadobudnutia účinnosti v máji 2018 malo všeobecné nariadenie o ochrane údajov (GDPR) významný vplyv na ochranu osobných údajov[7]. Všeobecné nariadenie Európskej únie o ochrane údajov je rozsiahly zákon o ochrane osobných údajov, ktorý zjednocuje predpisy o ochrane osobných údajov všetkých členských štátov Európskej únie. Podľa predchádzajúcej normy, smernice o ochrane údajov, mal každý členský štát svoje vlastné zákony o ochrane údajov, ktoré upravujú zhromažďovanie, analýzu, použitie a uchovávanie osobných údajov používateľov. GDPR to zmenilo a stanovilo jednotný súbor noriem, ktorý sa vzťahuje na všetky osobné údaje generované používateľmi v rámci EÚ. Nevzťahuje sa iba na spoločnosti so sídlom v EÚ; každá spoločnosť, ktorá zhromažďuje, analyzuje, používa alebo uchováva osobné údaje používateľa so sídlom v EÚ, sa musí riadiť GDPR alebo čeliť prísnym pokutám. GDPR zmenilo spôsob, akým spoločnosti robia veľa vecí, vrátane toho, ako spolupracujú s poskytovateľmi služieb tretích strán.

   Každá spoločnosť, ktorá ukladá alebo spracúva osobné informácie o občanoch EÚ v rámci štátov EÚ, musí dodržiavať nariadenie GDPR, a to aj v prípade, že v EÚ nemá obchodné zastúpenie. Konkrétne kritériá pre spoločnosti, od ktorých sa vyžaduje, aby dodržiavali tieto požiadavky[10]:

  • Prítomnosť v krajine EÚ.
  • V EÚ nie je prítomná, ale spracúva sa v nej osobné údaje európskych obyvateľov.
  • Viac ako 250 zamestnancov.
  • Menej ako 250 zamestnancov, ale jeho spracovanie údajov ovplyvňuje práva a slobody dotknutých osôb, nie je príležitostné alebo obsahuje určité typy citlivých osobných údajov.

   Jednou z kľúčových výziev je náhly prechod na prácu na diaľku spôsobenú vypuknutím choroby as tým spojené opatrenia blokovania alebo zákazu vychádzania prijaté vládami. Organizácie musia zabezpečiť zdravia a bezpečnosti zamestnancov a ochrana ich základných práv a slobôd ako dotknutých osôb[2]. S cieľom obmedziť šírenie vírusu na pracovisku bude pravdepodobne potrebné, aby zamestnávatelia spracovali viac osobných údajov ako doteraz, najmä zdravotné údaje. Mnoho spoločností je v pokušení spoľahnúť sa na súhlas svojich zamestnancov s takýmito údajmi. Kvôli nerovnováhe síl v pracovnoprávnych vzťahoch sa však súhlas zamestnanca všeobecne nepovažuje za „slobodne daný“ a je nepravdepodobné, že bude v súlade s GDPR. GDPR poskytuje rôzne možnosti v prípade nedodržania pravidiel ochrany údajov, vrátane maximálnej pokuty až do výšky 20 miliónov EUR alebo štyroch percent z celkového ročného celosvetového obratu spoločnosti, podľa toho, ktorá hodnota je vyššia.

   GDPR definuje niekoľko rolí, ktoré sú zodpovedné za zabezpečenie súladu: kontrolór údajov, spracovateľ údajov a pracovník ochrany údajov (DPO)[9]. Prevádzkovateľ definuje, ako sa osobné údaje spracúvajú a na aké účely sa spracúvajú. Prevádzkovateľ je tiež zodpovedný za zabezpečenie súladu s požiadavkami externých dodávateľov. Spracovateľmi údajov môžu byť interné skupiny, ktoré udržiavajú a spracúvajú záznamy o osobných údajoch, alebo akákoľvek externá firma, ktorá vykonáva tieto činnosti alebo ich časť. Podľa GDPR sú spracovatelia zodpovední za porušenia alebo nedodržanie predpisov. Je teda možné, že spoločnosť aj spracovateľský partner, napríklad poskytovateľ cloudu, budú zodpovední za pokuty, aj keď chyba je výlučne na spracovateľskom partnerovi.

   Nariadenie GDPR má dopad aj na internetové obchody v oblasti zmlúv so spolupracujúcimi organizáciami, napríklad medzi správcom osobných údajov a spracovateľom. Takáto zmluva nie je novinkou, bola požadovaná predošlou legislatívou. Nariadenie GDPR sa tejto problematike venuje v článku 28 Sprostredkovateľ. Aj keď tieto ustanovenia znejú priamo, vykonávanie štrukturálnych zmien potrebných na splnenie požiadaviek nariadenia GDPR bolo pre mnohé spoločnosti monumentálnou úlohou – najmä v USA, kde sú pravidlá ochrany osobných údajov podstatne voľnejšie ako v EÚ. Marketingové oddelenia boli nútené venovať osobitnú pozornosť GDPR.

   Odporúčanie ako úspešne ako zvládať GDPR agendu vo svojej spoločnosti existuje návod, ktorý poskytuje výbornú pomoc v tejto záležitosti:[3]

  • Zdokumentujte svoj súčasný a budúci stav- Umožní vám to predložiť dôkazy požadované nariadením, ako aj odhaliť potenciálne medzery v procese a technológii.
  • Zaviesť nové procesy s uzavretou slučkou- Akýkoľvek postup na získanie súhlasu, ktorý zahŕňa manuálne kroky, vystaví podnik možnému riziku v súlade s predpismi. To si bude vyžadovať potrebu dynamických procesov s uzavretou slučkou, ktoré sú schopné prispôsobiť sa nuansám každej požiadavky.
  • Pripojte rôznorodé zdroje údajov- Budete musieť nájsť spôsob, ako prepojiť procesy s údajmi a systémami zákazníkov v celom podniku. Dôležité je, že to často zahŕňa potrebu integrácie so starými systémami, ktoré nemusia mať API.
  • Uzavrite ochranu údajov o zákazníkoch – je potrebné zaviesť ochranné opatrenia na proaktívnu ochranu osobných údajov. To znamená úvahy o šifrovaní, de-identifikácii údajov.
  • Vytvorte systém upozornení- Musíte automatizovať komunikáciu medzi všetkými stranami vrátane údajov, subjektu, kontrolóra, procesora a regulátora – s proaktívnymi aj reaktívnymi procesmi vrátane zostavovania dynamického obsahu.
  • Dosiahnite transparentnosť automatizovaných rozhodnutí- Možno budete musieť prestať s nepriehľadnými analytickými procesmi a nahradiť ich transparentnými procesmi, ktoré môžu vrhnúť svetlo na logiku použitú pri rozhodovaní.
  • Udržiavajte komplexný auditový chod- Sledujte všetky aktivity vrátane zhromažďovania údajov, udeľovania súhlasu a dokonca aj rozhodnutia, ktoré boli urobené na základe týchto údajov.

   Aj keď dosiahnutie a zachovanie súladu s GDPR je veľkou výzvou, existujú strieborné obloženia. Údaje od digitálnej marketingovej spoločnosti Acoustic, ktorá bola predtým súčasťou IBM, ukazujú, že GDPR už má pozitívny vplyv na angažovanosť. Správa o marketingovom teste spoločnosti z roku 2019 preskúmala marketingové údaje tisícov značiek v 40 krajinách. Okrem iných výsledkov správa zistila, že miera otvorenia e-mailov a miera prekliknutí sa od roku 2014 podstatne zvýšili, a to o 19%, respektíve 14%.[6] „Obchodníci boli spočiatku skeptickí voči predpisom o ochrane súkromia a údajoch, ako je GDPR vo Veľkej Británii a CASL v Kanade, pretože obmedzujú spôsob, akým môžu značky získať prístup a využívať údaje o zákazníkoch,“ uviedla vo vyhlásení Loren McDonald, programová riaditeľka prieskumu trhu v spoločnosti Acoustic[3]. Aj keď je GDPR určite pre mnohé spoločnosti zásadnou zmenou, práca pri udržiavaní súladu môže stáť za to nielen z regulačných dôvodov, ale aj z obchodných dôvodov. Digitálny marketing koniec koncov funguje najlepšie, keď sa publikum, ktoré oslovíte, skutočne zaujíma o vaše produkty a služby. Nezainteresovaní používatelia dosahujú vyhodené marketingové doláre.

Záver

   Nariadenie GDPR a jeho používanie je zložitou tematikou. Táto práca sa snažila túto tému objasniť a priblížiť informácie, ktoré sa týkajú používanie GDPR firmami, ako používať GDPR správne, a aké novinky priniesla zmena nariadenie v roku 2018. Práve zmena v roku 2018 bola kľúčovou k vybudovaniu bezpečnejšieho a súkromnejšieho online prostredia pre používateľov. Práve toto je základom GDPR a jeho používania. Spoločnosti museli urobiť množstvo zmien, ktoré neboli pred tým potrebné a prispôsobiť sa novej realite, ktorú toto nariadenie prinieslo.

Použitá literatúra

  • [1]   GÉROT, M. Covid-19: Stay safe and GDPR-compliant. In ITProPortal [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.itproportal.com/features/covid-19-stay-safe-and-gdpr-compliant/>.
  • [2]   KONVIT, M. GDPR pre firmy v čase koronakrízy COVID-19 – KPMG Slovensko. In KPMG [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://home.kpmg/sk/sk/home/insights/2020/05/gdpr-pre-firmy-v-case-koronakrizy-covid-19.html>.
  • [3]   LUND, J. GDPR: What is It and How Does it Impact My Business? In [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://www.superoffice.com/blog/gdpr/>.
  • [4]   MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
  • [5]   NADEAU, M. What is the GDPR, its requirements and facts? In CSO Online [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.csoonline.com/article/3202771/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html>.
  • [6]   UZIALKO, A. How GDPR Is Affecting Email Marketing Strategy – businessnewsdaily.com. In Business News Daily [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.businessnewsdaily.com/10959-gdpr-email-marketing.html>.
  • [7]   VESELÝ, P. Problém GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
  • [8]   VESELÝ, P. Sankcie za porušenie GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
  • [9]   VESELÝ, P. Vecná pôsobnosť GDPR. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
  • [10]   VESELÝ, P. Zabezpečenie odolnosti systémov spracúvania osobných údajov ako požiadavka GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .

Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2

Indexed : GOOGLE SCHOLAR