Nedeľa 19. augusta. Meniny má Lýdia

GDPR: hrozba sa dá premeniť na silnú stránku

gdpr

GDPR nemusí byť len postrachom. Dá sa premeniť na príležitosť ako znížiť administratívu pre klientov, či spolupracovníkov.

Všetky firmy, ktoré pracujú s osobnými údajmi klientov, prešli minulý piatok zásadnou zmenou. Do platnosti vstúpilo európske nariadenie na ochranu osobných údajov – GDPR (General Data Protection Regulation).

Medzi viacerými spoločnosťami vyvolala táto regulácia doslova paniku. Dôvodom sú najmä vysoké pokuty, ktoré môžu dosiahnuť až štyri percentá ročného obratu, či 20 miliónov eur. Takáto suma môže byť pre niektoré firmy likvidačná. Sú však aj spoločnosti, ktoré zobrali GDPR ako príležitosť a deklarujú vďaka novej regulácií vylepšenia pre klientov, či spolupracovníkov.

Pre veľké firmy žiaden problém

Nábeh novej regulácie GDPR zachytil bežný človek pravdepodobne najviac tým, že jeho e-mailové stránky pred nábehom do účinnosti praskali vo švíkoch so žiadosťami o dodatočné poskytnutie súhlasu so spracovaním osobných údajov. Pre viaceré firmy to bolo prvý krát, keď sa začali zaoberať ochranou osobných údajov. Ide najmä o malé a stredné spoločnosti. Veľké a etablované finančné inštitúcie však o žiadnej katastrofe nehovoria. Tie totiž už ochranu údajov klientov vyriešenú mali, stačilo len upraviť interné procesy.

„Zmien u nás nebolo tak veľa, ako by sa na prvý pohľad mohlo zdať. Aj doteraz sme totiž veľmi dbali na bezpečnosť,“ hovorí Ingrid Judinová, právnička spoločnosti Fincentrum. Firma sa podľa nej zamerala najmä na to, kto má prístup k akým informáciám. „Zabezpečili sme dáta s cieľom vyššej bezpečnosti,“ vysvetľuje. Dodáva, že predchádzajúca legislatíva, ktorá platila na Slovensku bola z jednou najprísnejších a preto nevníma naša spoločnosť GDPR ako veľký zásah do obchodnej činnosti.

Podobne GDPR komentuje aj analytik spoločnosti OVB Allfinanz Marián Búlik. „Napriek veľkej medializácii zmien, ktoré prináša nové nariadenie, väčšina požiadaviek bola pre našu spoločnosť záväzná už v zmysle aktuálne platného zákona ochrane osobných údajov,” konštatuje.

Nie je podľa neho správne vnímať GDPR ako niečo úplne nové. „Je potrebné si uvedomiť, že ochrana osobných údajov je v určitej forme v našom právnom poriadku už od roku 1998. Mení sa len obsah regulácie,“ hovorí. Aj táto spoločnosť venovala gro svojich aktivít potrebe rozanalyzovať údaje a vyhodnotiť adekvátnosť ich spracúvania.

Slovenská sporiteľňa sa vo vyhlásení pre klientov vyjadrila v podobnom duchu: „V našej banke sa už i doteraz dodržiavali vysoké štandardy pri spracovaní osobných údajov klientov. Preto nové pravidlá nevedú k žiadnym zásadným zmenám spôsobu spracovania údajov.“

Napriek všeobecne avizovaným problémom s reguláciou využili niektoré firmy nové pravidlá na inovácie pre klientov a partnerov.

Menšie nároky na sprostredkovateľov

„Zmeny využijeme v prospech klientov, aby sa spôsob nastavenia ich súkromia v online svete, ako aj udeľovanie súhlasov so zasielaním marketingových informácií, zjednodušili,“ uviedla napríklad Slovenská sporiteľňa.

Právnička Fincentra hovorí, že aj v tejto spoločnosti nová legislatíva nepriniesla vyššiu administratívnu záťaž pre klientov. Ešte výraznejšou zmenou však podľa nej je zníženie agendy pre finančných sprostredkovateľov.

Firma väčšinu nových nárokov plynúcich z GDPR prebrala na seba a na sprostredkovateľov ich delegovala len minimum.

„Po novom sú sprostredkovatelia len poverenými osobami, čo znamená, že nároky na nich sa nezmenili ale zvýšené nároky plynúce z GDPR prevzalo Fincentrum,“ objasňuje František Dragúň, obchodný riaditeľ Fincentra. „Myslíme si, že sprostredkovateľov by neúmerne zaťažovalo, ak by mali nové vyššie nároky plniť len oni. Na to, či sú údaje správne archivované a spracovávané, musíme tak či tak dbať ako prevádzkovateľ my,“ vysvetľuje.

Bezpečné aplikácie

V praxi to napríklad znamená, že všetky osobné údaje klientov sa ukladajú v aplikáciách a systémoch spoločnosti, nie v osobných počítačoch, či pamäťových zariadeniach sprostredkovateľov. Dáta totiž nemusia byť v lokálnych zariadeniach dostatočne chránené. Firma preto poskytuje vlastné riešenia, ktoré spĺňajú kritériá vysokej bezpečnosti. Ide napríklad o databázy klientov, zmluvy, či naskenované dokumenty, ktoré spolupracovníci ukladajú do firemných aplikácií na cloude.

„Sprostredkovatelia si tak nemusia vytvárať svoje vlastné informačné systémy a pravidlá na ochranu. Fincentrum ich vytvorilo za nich a sprostredkovateľom stačí len ich využívať a dodržiavať spoločnosťou nastavené pravidlá. GDPR je tak pre nich vyriešené,“ hovorí F. Dragúň. Dodáva, že podľa jeho informácií je Fincentrum jednou z mála firiem na trhu, ktoré k novým nárokom na ochranu osobných údajov pristúpili týmto spôsobom.

OVB napríklad zvolilo kombinovaný prístup. „Postavenie podriadeného finančného agenta závisí od spracovateľskej činnosti, respektíve od toho, pre ktorý subjekt spracúva osobné údaje,“ vysvetľuje M. Búlik. Podriadený finančný agent tak v tejto spoločnosti podľa neho môže mať postavenie prevádzkovateľa, ak spracúva osobné údaje dotknutej osoby pre vlastné účely, alebo sprostredkovateľa, ak spracúva osobné údaje dotknutej osoby pre samostatného finančného agenta v postavení prevádzkovateľa.

Môže mať však aj postavenie ďalšieho sprostredkovateľa – subdodávateľa, ak spracúva osobné údaje dotknutej osoby pre samostatného finančného agenta v postavení sprostredkovateľa. Pri každom z týchto režim teda musí plniť odlišné nároky na bezpečnosť údajov. Zákon teda necháva pri aplikácií nových pravidiel firmám istú voľnosť. Záleží na ich rozhodnutí a právnej analýze, pre ktorý prístup sa rozhodnú.

Čo je podstatou GDPR

Európska norma bola prijatá ešte v roku 2016. V celej únii začala platiť 25. mája 2018. Prvoradým cieľom bolo zvýšenie práv spotrebiteľov vo vzťahu k veľkým IT gigantom ako Facebook alebo Google. Ich biznis je totiž založený práve na obchodovaní s osobnými údajmi. V minulosti už došlo k niekoľkým vážnym prípadom úniku dát.

Najväčšiu pozornosť vzbudila nedávna kauza „Cambridge Analytica“, keď bolo podvodným spôsobom od užívateľov bez ich vedomia vysaté veľké množstvo osobných údajov, ktoré boli následne zneužité v politickom marketingu v USA – konkrétne v predvolebnej kampani Donalda Trumpa.

Po novom tak budú mať užívatelia právo kedykoľvek požiadať o vymazanie ich osobných údajov, alebo si vyžiadať informáciu, ako je s ich údajmi nakladané.

Rozšíril sa okruh dát, ktoré možno definovať ako osobné. Po novom je to každá informácia, pomocou ktorej možno identifikovať konkrétnu osobu, teda napríklad aj e-mail, IP adresa, lokalizačné dáta, či tzv. cookies, ďalej zdravotné údaje alebo osobné údaje detí.

GDPR sa však týka len občanov Európskej únie. V USA, či Ázii teda môžu firmy postupovať tak ako doteraz.

Na Slovensku doteraz upravoval prácu s osobnými údajmi Zákon č. 122/2013 Z.z. o ochrane osobných údajov. Nahradil ho Zákon 18/2018 Z. z.. Kompetentným orgánom je Úrad na ochranu osobných údajov Slovenskej republiky.


Čo by mali finanční sprostredkovatelia dodržiavať:

♣ Posielať e-maily s osobnými údajmi klientov len prostredníctvom šifrovaných mailov. Ideálne je súbory s osobnými údajmi ochrániť heslom napríklad vo forme ZIP.

♣ Nepoužívať na výmenu dokumentov s osobnými údajmi súkromné e-mailové adresy, či sociálne siete. Facebook, WhatsApp, Viber, či Messenger patria k bežnému životu, ale nie sú vhodné na pracovné účely.

♣ Priebežne odstraňovať sa svojich elektronických zariadení nepotrebné osobné údaje. GDPR totiž umožňuje uchovávať len údaje v nevyhnutnom rozsahu, a nevyhnutnej dobe.

♣ Počas osobných stretnutí s klientmi, či s obchodnými partnermi by mal agent zabezpečiť bezpečnosť dokumentov, či elektronických nosičov s osobnými údajmi v kancelárii.

 


Aké práva získali vďaka GDPR klienti:

♦ právo byť informovaný o spracovaní svojich osobných údajov– právo na informácie o účele spracovania,

♦ právo na výmaz ( právo byť zabudnutý) – právo dotknutej osoby žiadať vymazanie osobných údajov, ak sú splnené špecifické podmienky, napr. keď osobné údaje už nie sú potrebné na účely, na ktoré boli zhromaždené alebo inak spracovávané,

♦ právo na prístup k osobným údajom– oprávnenie klienta na základe žiadosti získať od prevádzkovateľa informáciu, či sú alebo nie sú jeho osobné údaje spracovávané,

♦ právo na opravu nepresných osobných údajov,

♦ právo na obmedzenie spracovania osobných údajov,

♦ právo na prenositeľnosť údajov– možnosť klientov získať ich osobné údaje, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte,

♦ právo na odvolanie súhlasu so spracovaním – v prípade ak je spracovanie osobných údajov založené na súhlase,

♦ právo vzniesť námietku,

♦ právo podať sťažnosť u dozorujúceho orgánu, ktorým je na Slovensku Úrad na ochranu osobných údajov.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *