„Množstvo Slovenských podnikateľov, ani nevie čo to vlastne GDPR je. Vidíme v tom obrovské riziko hlavne vzhľadom k prísnym pokutám. Tie sú svojou výškou rýdzo Európske, ale platia aj na Slovensku. Často sa nám stáva, že nám zavolá podnikateľ ktorý má množstvo zamestnancov, menšiu fabriku a možno aj súkromnú ambulanciu, a vôbec ani netuší že má nejakú povinnosť. Sú to také úsmevné príhody ale podnikatelia ako keby si často neuvedomovali riziká.“ Uviedol ing. Ján Szabo, manager spoločnosti VARIAFLEX, s.r.o.

Máte zamestnancov? Potom sa Vás GDPR priamo týka. Máte účtovníčku? Je to Váš zamestnanec alebo ste si najali externú účtovnú firmu? V oboch prípadoch potrebujete mať vypracovanú analýzu a bezpečnostný projekt. Zamestnanec vám zveril osobné údaje. Pozor, z hľadiska bezpečnosti osobných údajov je prvý rizikový bod ten, že osobné údaje Vašich zamestnancov, opúšťajú vašu firmu a dávate ich do rúk vašej účtovníčke ktorá vedie mzdovú agendu – teoreticky úplne cudzej tretej osobe, ktorá vám musí ochranu osobných údajov garantovať. Podľa zákona musíte mať s touto osobou podpísanú tzv. Sprostredkovateľskú zmluvu, kde vaša firma je prevádzkovateľ a účtovníčka zase sprostredkovateľ. V zmluve sa uvedie, kto a ako ručí za ochranu osobných údajov, zodpovednosť, podmienky spracovania a podobne. Vy si zmluvu založíte do vášho bezpečnostného projektu a vaša účtovníčka zase do svojho. Tieto dokumenty sú krížovo kontrolovateľné medzi firmami, podobne ako keď kontrola Daňového Úradu kontroluje faktúry vo viacerých firmách.  Povinnosť mať vypracovaný bezpečnostný projekt sa týka každého kto spracováva osobné údaje. Tým sa rozumie, že máte zamestnancov, alebo napríklad vystavujete faktúry zákazníkom. To isté platí, ak máte zmluvného opravára počítačov. Ten je vzhľadom k vašej firme tiež sprostredkovateľ, lebo by mohol mať prístup k osobným údajom vo Vašom počítači. Problematika je samozrejme zložitejšia, tu sme uviedli iba príklad ako asi to funguje.

Z GDPR sa poslednú dobu stalo klišé, ale čo je jeho význam?

Smernica GDPR je tak prísna, že jej úplne dodržiavanie je až nepredstaviteľné. Predstavte si, že podnikateľ má mobil v ktorom má uložené telefónne čísla. Teoreticky by od všetkých ľudí, potreboval mať vopred daný súhlas, že si môže uložiť ich mená a telefónne čísla. GDPR je o detailoch a nastavených procesoch. Už aj fotografia alebo videozáznam je osobný údaj. Máte kamerový systém? Tak pozor, máte zariadenia na spracovanie osobných údajov.

Máte papiere s osobnými údajmi, niekde na poličke alebo v šuflíku? Zákon to pomenoval ako neautomatizovaný informačný systém. Ako ste ho zabezpečili? Je miestnosť uzamykateľná? Kto má kľúče? Máte mreže na oknách?

Veľký problém je s emailovým marketingom a zákon poskytuje ďalšiu zbraň proti nevyžiadanej pošte. Táto myšlienka môže prísť akokoľvek chorá ale emailová adresa je tiež osobný údaj. „Radíme naším zákazníkom, ako nedostať pokutu.“ hovorí Ing. J. Szabo, manager.

Ale najabsurdnejší príklad, je klasická vizitka. Predstavte si, že idete po ulici a niekto Vám dá vizitku. Na vizitke je meno a priezvisko Vášho partnera, teda dal Vám svoje osobné údaje v písomnej forme. No na ich spracovanie, potrebujete súhlas. Správne by ste ho mali písomne poučiť a dať mu podpísať súhlas so spracovaním jeho osobných údajov.

Z GDPR sa poslednú dobu stalo klišé, ale čo je jeho význam?

„S hackermi sme mali jednu diskusiu. Predstavte si počítačový hardisk. Keď ho naformátujete, fyzicky dáta nezničíte. Vymaže sa iba nultá patícia, pričom fyzicky dáta ostávajú na disku až kým disk po okraj nenaplníte ďalšími dátami. Tieto dáta na disku po formátovaní vieme bežne obnoviť, robili sme to neraz. A teraz ako môže dôjsť reálne k fyzickej likvidácii osobných údajov? Asi iba keď hardisk prepichnete klincom.“ usmeje sa „nie, nie... máme na to postup“ dodáva Ing. Szabo, manager.

Nový fenomén vydierania

Každého znalca problematiky GDPR napadne hneď niekoľko desiatok možností, ako by sa dala ohroziť akákoľvek priemerná Slovenská firma. Niekto Vám nenápadne podhodí osobný údaj a z vašej neznalosti, môžete mať vážny problém. Kto to využije? „Toto bude využívané určite v konkurenčnom boji. Z praxe vieme, že ak niekto na Vás pošle kontrolu, bude to najskôr Váš konkurent. Prvoradé je pre nás aby naši klienti dodržiavali zákon a nemohli sa stať obeťou vydierania, no a my im k tomu maximálne dopomáhame. Vieme odborne upozorniť na mnoho vecí, ktoré nebudem prezrádzať, lebo sú našim know - how. Úprimne, ja v zákone nevidím pre podnikateľov nič dobré. Myslím si, že chrániť osobné údaje sa mohli aj ináč, prinesie to zbytočne veľa povinností a byrokracie ktorej nie som zástancom. V dnešnej dobe je pre podnikateľa problém získať zákazky a vôbec dostať za ne zaplatené, a nie komplikovať si život. Keď sme chceli ísť do Únie, ani sme vlastne celkom presne nevedeli čo chceme.“ prezradil Marek Vician, konateľ spoločnosti.

Zodpovedná osoba

Každý kto spracováva osobné údaje vo väčšom rozsahu alebo spracovanie osobných údajov súvisí s jeho podnikateľskou činnosťou, je povinný určiť si zodpovednú osobu.  Platí to tiež pre orgány verejnej moci, ale aj verejnoprávne subjekty čo sú obce, školy, nemocnice, detské domovy, ambulancie a pod. Spoločnosť VARIAFLEX, s.r.o. poskytuje aj službu kvalifikovanej zodpovednej osoby na tzv. outsourcing. Výhodou je, že za prijateľný mesačný paušál získate človeka ktorý sa profesionálne venuje ochrane osobných údajov, sleduje legislatívne dianie, navštevuje prednášky a má veľa skúsenosti, takže vie Vám poradiť. Naša spoločnosť má aj uzatvorené poistenie zodpovednosti za škodu vzniknutú z povolania, takže vieme zakryť aj prípadné pokuty. Cena za zodpovednú osobu je 99€ / mes.

Objednať

Školenia

Množstvo firiem Vám predá nejaké podivné šablóny. Môžete to risknúť a vypracovať si GDPR dokumentáciu na vlastnú päsť. Spoločnosť VARIAFLEX, s.r.o. Vám urobí vstupný audit, ten môže prebehnúť osobne alebo elektronicky a následne vypracuje kompletnú bezpečnostnú dokumentáciu GDPR, ktorej súčasťou je DPIA posúdenie rizík, vypracovanie smerníc, všetkých poučení a zmlúv ktoré potrebujete mať vypracované, oznámení pre eshop a podobne. Táto dokumentácia má niekoľko sto strán. Týmto sa ale služby nemusia skončiť. Môžete si objednať aj zavedenie GDPR do praxe vo Vašej firme, pričom spoločnosť VARIAFLEX, s.r.o. zabezpečí školenie vašich zamestnancov, priamo vo vašej firme. Okrem školenia Vám lektori právnického vzdelania druhého stupňa zrozumiteľne vysvetlia, načo si je treba dávať pozor, vysvetlia, ukážu, poskytnú otvorenú diskusiu a zodpovedia otázky. Je to naozaj to maximum čo môžeme urobiť aby sa napísaný projekt, zaviedol do praxe aj vo vašej firme. Na konci školenia ešte preskúšame zamestnancov z vedomostí.

Z GDPR sa poslednú dobu stalo klišé, ale čo je jeho význam?

Kontroly a pokuty

Dobrá správa je, že kontroly z úradu neprídu neohlásene a nezaklopú Vám na dvere. Kontroly z Úradu pre Ochranu Osobných Údajov sú vopred ohlásené písomne. V najhoršom prípade, spoločnosť VARIAFLEX, s.r.o. môžete osloviť aj na poslednú chvíľu, aby Vám prekontrolovala bezpečnostnú dokumentáciu keď už viete že Vám príde kontrola, môže sa kontroly zúčastniť a poskytnúť vám poradenstvo. Pokuty sú neprimerane vysoké, čo značí že Európska Únia to myslí s ochranou osobných údajov vážne.

Novinkou je napríklad právo na zabudnutie. Každý má právo požadovať aby jeho osobné údaje boli zabudnuté – natrvalo vymazané. Ochrana osobných údajov je základným ľudským právom. „Pozrite, základným ľudským právom je aj právo na slobodné podnikanie. Vždy budem presadzovať minimalistický zásah štátu do podnikania. Platí nás podnikateľ a našou úlohou je odbremeniť podnikateľa. Ale ochrana osobných údajov, musí byť zachovaná zo zákona.“ hovorí Marek Vician.

Ako dlho funguje spoločnosť VARIAFLEX, s.r.o. na trhu približuje jej konateľ Marek Vician: „Sme na trhu od roku 2013.“ Aktuálne, podľa jeho slov, je tím zložený prevažne z právnikov takže majú vysoké právne povedomie a ľudí s dlhoročnou praxou v advokácii, právnom zastupovaní a poradenstve, ale tiež majú v tíme aj mladých a dravých profesionálov na IT a white hat hackerov na kybernetickú bezpečnosť. (Termín biely klobúk v internetovom slangu označuje etického počítačového hackera alebo odborníka na počítačovú bezpečnosť, ktorý sa špecializuje na testovanie penetrácie a iné testovacie metodiky na zabezpečenie bezpečnosti informačných systémov organizácie). „Naša spoločnosť nie je poskladaná zo skrachovaných ekonómiek a ani bezpečnostných technikov.“ dodáva Marek Vician.

Z GDPR sa poslednú dobu stalo klišé, ale čo je jeho význam?

Zopár rád pri výbere spoločnosti

  • Spýtajte sa koľko strán má bezpečnostný projekt. V prípade, že počet nepresahuje ani 40 ks A4 - ide o šablónové riešenie ktoré pred úradom nemusí vždy obstáť.
  • Dávajte si pozor, aby Vám firma nepredala neodborne vypracovaný „VZOR“ Bezpečnostného projektu a dokumentácie k ochrane osobných údajov. Nakoľko sa jedná o „VZOR“ vypracovateľ sa vyhol akejkoľvek zodpovednosti za škodu, ktorú Vám do budúcna spôsobí.
  • Dávajte si pozor na podozrivo nízku cenu za vypracovanie. Za 49 € sa nedá odborne poradiť a poskytnúť všetky služby v oblasti ochrany osobných údajov.
  • Vždy vyžadujte k projektu „ZMLUVU“ kde sa jednoznačne vymedzí čas dodania, zodpovednosť za škodu a cenu.
  • Prosím majte na pamäti, že len jedine pri nesplnení povinnosti vypracovania Bezpečnostného projektu Vám úrad „MUSÍ“ uložiť pokutu od 1 000 € do 200 000 € (§102 ods. 1 písm. f zákona o ochrane osobných údajov 18/2018 "SK - GDPR").
  • Spýtajte sa, či spoločnosť ktorá Vám dodá projekt, má poistenie zodpovednosti za spôsobenú škodu.
  • Informujte sa ako bude spoločnosť riešiť prípadnú kontrolu zo strany Úradu na ochranu osobných údajov a pravidelné upozorňovania na zmeny v zákone.