Články označené ako BrandCom sú pripravené a publikované v spolupráci s komerčnými partnermi. Hoci redakcia TRENDU nie je ich autorom, ich obsah považuje za prínosný pre čitateľa a preto umožnila ich publikovanie. Viac o BrandCom

Slabá ochrana osobných údajov môže firmy pochovať

09.11.2017, 08:29 | Tomáš Nejedlý | © 2017 News and Media Holding

Do pobočky banky rázne vpochoduje rozhnevaný človek a na pracovníka za priehradkou spustí: „Prečo mi od vás do e-mailu stále chodia reklamné letáky, aj keď som ich už dvakrát odhlásil?! Ukážte mi láskavo, aké údaje o mne držíte a kde!“ Ak túto požiadavku bankový úradník nedokáže ani s pomocou kolegov splniť, banke hrozí pokuta 20 miliónov eur.

  • Tlačiť
  • 2

Takto by mohla vyzerať realita od budúceho roka po spustení novej legislatívy o ochrane osobných údajov. Zdá sa vám to pritiahnuté za vlasy? Na podnikateľov sa však viac či menej ničivé legislatívne cunami valí každoročne. TREND sa pozrel na tri najväčšie zmeny v oblasti zamestnávania a trhu práce, ktoré zasiahli firmy tento rok, prípadne ich čakajú v blízkej budúcnosti.

Najviac diskutovanou zmenou, na ktorú sa podniky musia pripraviť, je prísnejšia ochrana osobných údajov. Európska komisia totiž vlani schválila nariadenie, ktoré bude platiť od 25. mája budúceho roka. Aktuálne plynie dvojročná lehota, ktorú dala komisia firmám na prípravu.

„Ako prvé s nami začali tieto legislatívne zmeny konzultovať pobočky väčších nadnárodných korporácií, pretože problematiku riešia ich vedenia na koncernovej úrovni. Dotknuté sú najmä spoločnosti z odvetví farmácie, medicíny, telekomunikácií, ale aj rôzne finančné inštitúcie, keďže spravujú množstvo osobných údajov, často veľmi citlivých,“ hovorí advokát Pavol Rak z právnej kancelárie Noerr.

Známy je príklad z Českej republiky, kde si zamestnanec T-Mobilu neoprávnene stiahol databázu 1,2 milióna zákazníkov firmy a predával ju na čiernom trhu. Údaje obsahovali okrem mien aj dátum narodenia, adresu, telefónne číslo, údaje o priemernej mesačnej útrate či o čísle bankového účtu zákazníka. Zamestnanca sa podarilo odhaliť náhodou – údaje ponúkol obchodnému partnerovi telekomunikačného operátora. Prípad sa skončil prepustením a trestným stíhaním zamestnanca.

Český Úrad pre ochranu osobných údajov udelil firme pokutu 3,6 milióna českých korún (138-tisíc eur) z dôvodu nedostatočného zabezpečenia databázy s údajmi.

Dobiehajú vlak

Nová legislatíva sa bude týkať všetkých podnikateľov, nadácií, ale aj občianskych združení, ktoré prichádzajú do styku s osobnými údajmi.

Máte zamestnancov? Musíte chrániť ich osobné údaje. Máte v počítači databázu klientov? Musíte ju poriadne zabezpečiť. Pozbierali ste e-mailové adresy o členoch rodičovského združenia, aby ste im mohli posielať hromadné e-maily? Aj tie je potrebné chrániť. Chcete uverejniť fotky z firemného teambuildingu na sociálnej sieti? Musíte mať súhlas dotknutých.

„Na školeniach sa mi bežne stáva, že manažéri precitnú a uvedomia si, v akom veľkom rozsahu vlastne pracujú s osobnými údajmi,“ hovorí konzultantka v oblasti ochrany osobných údajov a právnej bezpečnosti IT Eva Škorničková.

Úrad na ochranu osobných údajov SR odmieta hovoriť o revolúcii v ochrane dát, no pripúšťa, že zmeny zrejme do života spoločností zasiahnu vážne. „Nový režim ochrany sa zásadne nelíši od toho, čo by mali mať zabezpečené už dnes. Mnohí manažéri však doposiaľ ochranu dát skôr podceňovali a firmy teraz musia mnohé dobehnúť,“ tvrdí hovorkyňa úradu Lucia Bezáková.

„Myslím si, že súčasný zákon je kvalitný. Ale nedodržiaval sa, pretože pokuta nie je v takej vysokej sume, ako prináša nariadenie a nová úprava ochrany osobných údajov. Teraz preto prichádza lavína, ktorá by mala zasypať všetky diery v informačných systémoch, ako aj vo firemnej kultúre súvisiacej s nakladaním s osobnými údajmi,“ hovorí E. Škorničková.

Nie každý však otáľal. Napríklad Generali poisťovňa začala s prípravou na nové legislatívne podmienky už po prijatí nariadenia Únie v minulom roku. „Keďže naša spoločnosť spracúva veľké množstvo osobných údajov, zmeny sa dotknú prakticky každého zamestnanca poisťovne, ako aj každého organizačného útvaru,“ hovorí Monika Majerčíková z komunikačného oddelenia Generali.

Pôjde o nové nastavenie „životného cyklu“ osobných údajov, zmeny kontrolných mechanizmov, využívanie anonymizácie osobných údajov, zmeny interných predpisov aj zmluvných dokumentov. Náklady na implementáciu regulácie poisťovňa odhadla na desiatky tisíc eur.

Medzery v bezpečnosti

O akých dierach je vlastne reč? Napríklad životopisy uchádzačov o zamestnanie, ktoré do firiem chodia e-mailom, niekedy putujú nielen zamestnancom HR, ale aj k rôznym ľuďom z iných oddelení, ak sa potenciálny kolega hlási práve na ne. Po istom čase tak môžu životopismi polozabudnutými kdesi v počítačoch disponovať až desiatky rôznych ľudí, respektíve aj polovica členov manažmentu.

„Niektorí personalisti zase ukladajú životopisy na cloudy typu uloz.to, kde si ich môže ktokoľvek stiahnuť. Cena osobných údajov na čiernom trhu sa pritom šplhá až na tisícky dolárov a hackeri cielene poľujú najmä na zdravotnícke informácie, ktoré je možné zneužiť na vydieranie či už organizácií, ktorým unikli, alebo samotných osôb, ktorých sa týkajú. Predstavte si napríklad únik databázy pacientov psychológa alebo psychiatra,“ hovorí konzultantka E. Škorničková. Nemocnice navyše upozorňuje, aby zabudli na nalepovanie mien pacientov na ich lôžka.

Ak vašu HR agendu spracúva napríklad firma v Indii, ochranu osobných údajov musíte zohľadniť v prísnejšom znení zmluvy o spolupráci 

Prvé, čo všetky firmy čaká, je preto veľmi dôsledné zmapovanie toku dát na všetkých existujúcich oddeleniach, ako aj analýza možností, ako a kto sa k týmto citlivým dátam môže dostať.

„Každé jedno oddelenie si musí urobiť dôkladnú dátovú inventúru a zistiť, kde má uložené osobné údaje a aký právny titul má na to, aby ich mohlo vôbec zbierať a spracovávať,“ hovorí E. Škorničková.

Databázy, ktoré obsahujú osobné dáta, týkajúce sa napríklad zamestnancov alebo členov firemného vernostného programu, dnes stačí nahlásiť Úradu pre ochranu osobných údajov SR. „Dnes prevažujú formálne povinnosti, napríklad mať bezpečnostný projekt alebo nahlásiť databázy úradu. Po novom nahlasovanie nebude potrebné a úrad bude skúmať len skutočný stav ochrany. Firma bude musieť kedykoľvek preukázať, že má funkčný systém na ochranu osobných dát,“ hovorí advokár Dušan Nitschneider z advokátskej kancelárie Nitschneider&Partners.

Úroveň ochrany musí firma prispôsobiť povahe, rozsahu a účelu spracúvania dát a tiež riziku, ktoré je s ich spracúvaním spojené. Bezpečnostné opatrenia musia zodpovedať najnovším poznatkom a technológiám a ochrana súkromia musí byť zohľadnená už v momente tvorby každej databázy či marketingovej kampane. Tieto všeobecné ustanovenia európskeho nariadenia znamenajú, že firma musí informačný systém priebežne aktualizovať a zlepšovať.

„Firmám radíme, aby pravidelne vykonávali cvičné testy, pokusné hackerské útoky, ako aj audit nakladania s údajmi a viedli si o tom interné záznamy, ktoré budú môcť kedykoľvek predložiť úradu na požiadanie,“ dodáva D. Nitschneider.

Advokát tiež upozorňuje, že mnohé, najmä nadnárodné firmy outsourcujú personalistickú agendu, napríklad mzdovú do lacnejších krajín v zahraničí. Ak teda spolupracujú s externou firmou napríklad v Indii, ktorá spracúva údaje o dochádzke, platoch, dovolenkách či zamestnaneckých benefitoch ich európskych pracovníkov, zmeny musia zohľadniť aj v prísnejšom znení zmluvy o spolupráci so zahraničnými dodávateľmi týchto služieb.

Čo je GDPR

Nariadenie Európskej komisie o ochrane osobných údajov (angl. General Data Protection Regulation) je nová, všeobecne platná európska legislatíva, ktorá od 25. mája 2018 výrazne sprísni režim narábania s osobnými údajmi občanov. Za jej porušenie hrozí pokuta do 20 miliónov eur, prípadne do štyroch percent z tržieb firmy. GDPR stanovuje povinné oznamovanie porušenia osobných údajov do 72 hodín. Ako osobný údaj definuje aj e-mail, IP adresu alebo tzv. cookie v zariadení používateľa. Upravuje právo byť zabudnutý, čiže vymazanie osobných údajov, ak neexistuje dôvod na ich ďalšie spracovávanie. Zároveň prenáša dôkazné bremeno v otázke funkčnosti systému ochrany na firmy.

Súhlas s profilovaním

Novinkou v oblasti ochrany osobných údajov je tiež o čosi prísnejší režim pri profilovaní zákazníkov. Internetové či kamenné obchody, ktoré kupujúcich automaticky rozdeľujú do rôznych skupín podľa veku, pohlavia či predošlých nákupov, aby ich mohli lákať na mieru šitými zľavami, budú na tieto svoje aktivity už potrebovať výslovný súhlas od zákazníka.

„Súhlas musí obsahovať dostatočné a jasné informácie o profilovaní a musí obsahovať možnosť s ním nesúhlasiť,“ uvádza právna kancelária Allen&Overy v texte o GDPR, ktorý pripravila pre slovenskú softvérovú spoločnosť Eset.

Pri nakladaní s údajmi je ďalej potrebné dodržať princíp minimalizácie údajov. Firma môže zbierať a spracúvať len osobné údaje, ktoré sú nevyhnutne potrebné na konkrétny účel spracovania a len na nevyhnutný čas. A prístup k osobným údajom môžu mať len zamestnanci, ktorí ich na dosiahnutie daného účelu nevyhnutne potrebujú. Ak firme dáta uniknú, tá musí informovať Úrad na ochranu osobných údajov SR do 72 hodín od momentu, keď sa o úniku dozvedela. To isté platí aj pri iných porušeniach bezpečnosti údajov.

Drakonické pokuty

Podnikateľ, nadácia či občianske združenie, ktorí si nesplnia povinnosti podľa nového režimu ochrany, môžu zaplatiť pokutu až do sumy 20 miliónov eur, prípadne do výšky štyroch percent z obratu.

V prípade takých gigantov, akými sú napríklad Google, Apple či Microsoft, sa môže pokuta vyšplhať až na miliardy eur. V prípade najväčších firiem na Slovensku na desiatky až stovky miliónov eur. „Vysoké pokuty firmy vydesili najmä preto, že ich je možné ukladať už za porušenie všeobecných zásad spracúvania osobných údajov,“ vysvetľuje P. Rak.

Úrad na ochranu osobných údajov SR už podnikateľov upokojoval, že pokuty bude udeľovať podľa závážnosti úniku dát alebo chýb pri zabezpečení údajov a nebudú mať likvidačný charakter, ale preventívnu funkciu.

„Vyhlásenia úradu sú jedna vec a text nariadenia je vec druhá. Dnes nevieme dopredu povedať, či a ako úrad formálne zakotví tieto vyhlásenia do nejakého metodického usmernenia, ktorým bude napríklad určovať výpočet potenciálnej pokuty. Ak ostane len pri jeho vyhláseniach, predvídateľnosť práva sa zníži a môže to viesť až ku kontroverzným rozhodnutiam,“ hovorí D. Nitschneider.

Na ochranu dát budú dohliadať úrady členských krajín EÚ spoločne, nariadenie GDPR totiž predpokladá ich vzájomnú spoluprácu. Ak napríklad Úrad na ochranu osobných údajov SR dostane podnet od občana, že sú porušované jeho práva zo strany Facebooku, bude sa musieť obrátiť aj na írske orgány, keďže tam má táto spoločnosť oficiálne svoje sídlo pre Európu.

Odborníčka na ochranu dát E. Škorničková zároveň predpokladá možnú zvýšenú mieru udaní medzi konkurentmi, ktorí si budú navzájom dohliadať na „investície“ spojené s nákladmi vyvolanými novou právnou úpravou.

Nápor v zime

Aj keď nariadenie GDPR bude od mája 2018 automaticky účinné vo všetkých krajinách Európskej únie, Úrad na ochranu osobných údajov SR pripravuje zákon, ktorý toto nariadenie pretaví do nášho vnútroštátneho práva. Mnohé firmy preto odkladajú úpravu vnútropodnikových procesov až do času schválenia zákona v parlamente. „Aktuálne vyhodnocujeme pripomienky z medzirezortného pripomienkového konania,“ dodáva hovorkyňa úradu L. Bezáková.

„Firmy čaká veľa práce, veľké časové a finančné náklady, pretože doposiaľ venovali ochrane dát skôr okrajovú pozornosť a tieto úlohy robili personalisti popri inej práci,“ dodáva P. Rak. Hlavný nápor firiem preto advokát predpokladá zhruba pred Vianocami, ako aj tesne po tom, ako si spoločnosti uzatvoria hospodársky rok a začnú riešiť svoje nové projekty.  

Zdroj: Maňo Štrauch

Sviatky firmy nezaskočili

Počet sviatkov, počas ktorých zamestnanci nesmú pracovať v maloobchodných prevádzkach, tento rok stúpol z tri a pol dňa na pätnásť a pol dňa.

Postarala sa o to novela Zákonníka práce účinná od 1. júna tohto roka. Firmy podľa advokáta Pavla Raka zmena nezaskočila. „Ide len o kvalitatívnu zmenu, obchodníci už vedia, ako majú postupovať, pričom tieto kroky iba uplatnia počas väčšieho počtu dní,“ hovorí P. Rak.

V minulosti podľa neho obchodníkov potrápil najmä poldeň pred Štedrým večerom. Úderom poludnia zákon zakázal nielen maloobchodný predaj, ale aj práce s ním súvisiace. Inšpekcia práce tak postihovala aj predajne, kde ešte zamestnanci upratovali alebo uzatvárali kasu. „Pokuta sa môže vyšplhať na stotisíc eur, ale ak išlo o prvé porušenie, aj to len o hodinu, neboli kontrolóri až takí prísni. Teraz obchodníci radšej zavrú už o jedenástej, aby stihli dopoludnia aj súvisiace práce,“ vysvetľuje advokát.

Čo všetko je možné považovať za práce súvisiace s predajom tovaru konečnému zákazníkovi, zaujíma mnohé firmy. „Prax ukázala, že inšpektorát práce pod tým rozumie najmä prácu s pokladňou, dokladanie tovaru, prácu v sklade, čistenie a upratovanie predajne či stráženie jej interiéru,“ hovorí P. Rak. Ďalšie situácie záležia na posúdení inšpektorátom práce. „V spornom prípade zamestnanca, ktorý predával cez telefón, teda pracoval v kancelárii, sme poradili situáciu riešiť tak, že zamestnanec v deň sviatku pracoval len v kancelárii,“ dodáva advokát Dušan Nitschneider. Viaceré firmy museli zase vyriešiť nespokojnosť zamestnancov, ktorí počítali so zárobkom v deň sviatku, avšak zákon im nástup do práce znemožnil.

Jednoduchší vnútropodnikový presun

Slovenské firmy zamestnávajúce cudzincov môžu od mája tohto roka využiť zmeny v prijímaní sezónnych aj kvalifikovaných pracovníkov. Nová úprava okrem iného umožňuje vnútropodnikový presun zamestnanca medzi pobočkami firmy v rôznych krajinách. Na takéto dočasné pridelenie stačí po novom povolenie na prechodný pobyt na účel presunu.

Ide to však aj bez povolenia na prechodný pobyt, a to v prípade, ak má cudzinec platný doklad o pobyte v členskom štáte EÚ, tiež na účel vnútropodnikového presunu. Tento tzv. režim mobility pomôže firmám, ktoré už na pracovnom trhu nedokážu nájsť domácich záujemcov o prácu. Kolegovia zo zahraničných pobočiek napríklad na Ukrajine, v Bielorusku či Srbsku po príchode na Slovensko už nemusia žiadať o udelenie povolenia na prechodný pobyt.

Zdroj: Shutterstock.com

Partneri seriálu:

Softip Kvasnovsky&Partners
Dočítali ste článok z TRENDU
Článok vyšiel v týždenníku TREND 34/2017. Ak ste predplatiteľ TRENDU alebo TRENDU Digital, prihláste sa alebo si aktivujte predplatiteľský prístup.
Vyberte si predplatné od 4,45 €
  • Tlačiť
  • 2

Rubrika Ako manažovať ľudské zdroje

Tagy Ako manažovať ľudské zdroje, GDPR, ľudské zdroje

Nájdi vydanie

Výhody pre predplatiteľov TRENDU

  1. Zľavy

  2. Online služby

  3. TREND do tabletu

    • Aktuálny TREND aj archívne vydania na stiahnutie do aplikácií pre iOS/Android
  4. Ďalšie výhody

    • Doručenie do piatku vo Vašej schránke
    • Kedykoľvek si môžete zmeniť doručovaciu adresu
    • Kedykoľvek môžete prerušiť predplatné na ľubovoľný čas a neskôr si ho obnoviť

Všeobecné obchodné podmienky pre predplatné
Kontakt:
(02) 3215 3121-2, trendpredplatne@newsandmedia.sk

Darovací list na stiahnutie

Knihy a digitálne médiá

Tituly v našej ponuke máme na sklade a predplatitelia TRENDU si ich môžu objednať so zľavou. Ak ste predplatiteľ TRENDU, nezabudnite sa pred objednaním prihlásiť. Automaticky dostanete 10 až 20-percentnú zľavu.

Prečo Dobré zmluvy

Naozaj sa dá spoľahnúť na vzory zadarmo stiahnuté z webu? Neznámeho pôvodu a niekoľko rokov staré? Dobré zmluvy prinášajú viac ako 150 aktuálnych vzorových dokumentov. Všetky sú overené advokátskou kanceláriou:

Ak ste predplatiteľ TRENDU, nezabudnite sa pred objednaním prihlásiť. Automaticky dostanete 10-percentnú zľavu. Pozrite si aj dokumenty na bezplatné stiahnutie.

Daňové vzory a judikáty

Daňové vzory obsahujú vzory 60 najčastejšie používaných dokumentov v daňovom konaní (komunikácii s daňovými úradmi), Daňové judikáty 40 reálnych judikátov z daňového práva s odborným komentárom. Vychádzajú z praxe skúseného daňového právnika - ich autorom je advokát JUDr. Patrik Benčík, ktorý má za sebou viac ako 100 daňových súdnych sporov. Niekoľko rokov pracoval ako právnik na vtedajšom Daňovom riaditeľstve SR, je autorom a spoluautorom viacerých odborných publikácií z oblasti daňového práva.