Ako som si urobil hanbu ...
Urobil som chybu. V elektronickej správe som omylom poslal respondentom nášho prieskumu prílohu, ktorá tam nepatrila. Všetci respondenti tak videli informácie, ktoré im neboli určené. Bola to hanba, po ktorej som celú Veľkú noc strávil nahnevaný sám na seba a nesmierne ma to mrzelo. A vtedy mi napadlo... Čo by to znamenalo, ak by bolo v platnosti nariadenie o GDPR (General Data Protection Regulation)?
Ako by to mohlo dopadnúť, ak by sme mali v platnosti GDPR?
Chybu som urobil tak, že kolega pripravil e-mail s podkladmi a prílohou, na základe ktorej som ešte e-mail upravil. Chceli sme, aby poďakovanie za informácie v prieskume zákazníkom išlo z mojej e-mailovej schránky. E-mail som upravil, poslal ďalej takmer na 200 ľudí, ale zabudol som vymazať tú prílohu. Áno, stane sa, ale bola to nepríjemná chyba. Už dnes tu máme Obchodný, Občiansky zákonník SR, Zákonník práce i zákon na ochranu osobných údajov (122/2013 Z. z.), ktoré problematiku pokrývajú, ale ak bude v platnosti nariadenie GDPR, tak by takáto chyba mohla vyvolať kopu závažnejších problémov. Ak sa niečo podobné stane po máji 2018 vo vašej firme, čakajú vás veľké problémy.
Ak by môj e-mail obsahoval osobné údaje, ak by sa mi táto chyba stala v čase platnosti nariadenia o GDPR, ak by som nemal súvisiaci súhlas dotknutej osoby a neexistovala by iná legislatíva, ktorá umožňuje zverejnenie, tak takmer každý dotknutý v mojej prílohe by mal nárok požadovať nasledujúce informácie alebo úkony. Okrem prenositeľnosti údajov má dotknutá osoba už dnes právo požadovať informácie obsiahnuté v nasledujúcich bodoch, ale po implementácii GDPR do praxe tu budú vyššie postihy a ďalšie tromfy v rukách vašich zákazníkov. Dotknuté osoby budú mať právo:
- požadovať informáciu, odkiaľ máme vo firme daný údaj,
- požadovať, aké iné osobné údaje o dotknutej osobe uchovávame,
- požadovať zmazanie osobných údajov alebo ich presun inému subjektu,
- obrátiť sa na Úrad na ochranu osobných údajov Slovenskej republiky so žiadosťou o prešetrenie situácie... a iné.
Nechcem strašiť pokutami, i keď sú významné, ale ich vymožiteľnosť je otázna. Strašiť budem iným.
Pokuty, no dobre. Ale strata reputácie a súdy?
Som marketér a uvedomujem si, akú moc majú sociálne siete. Predstavme si, že váš „vychytralý zákazník“ príde s požiadavkou: „Ukážte mi, čo o mne máte. Aké osobné údaje o mne evidujete a zmažte ich.“ A ešte lepšie: „Preneste ich ku konkurencii.“ Napríklad z Orangeu do O2, z VUBky do Sporky alebo z Lidla do Kauflandu. Pretože aj toto nariadenie GDPR ukladá ako povinnosť. Ak toto čítate a ste z biznisu, tak si lepšie ako ja uvedomujete, čo všetko sa môže stať, ak „chytráka“ neuspokojíte. Nebodaj, ak sa vám podarí takémuto „mazanému“ zákazníkovi poslať ešte niečo alebo zavolať s ponukou, keď už majú byť všetky jeho osobné údaje vymazané. Súdy si na tom zgustnú rovnako ako chytrák, ktorý aj veľkú firmu roznosí na Facebooku a spôsobí stratu reputácie.
Ja som sa poučil. Aj na základe svojej chyby sme v tíme zaviedli viaceré opatrenia. Vám odporúčam:
- urobte si audit súladu s nariadením,
- vyhodnoťte, aké osobné údaje máte, kde ich máte a na čo ich používate,
- neukladajte a zmažte, čo nepotrebujete,
- posúďte riziká súvisiace s využívanými technológiami a so zavedenými procesmi a vyhodnoťte, či ste aktuálne schopní zamedziť úniku údajov, neautorizovanému prístupu k nim, zamedziť ich neautorizovanej zmene a včas obnoviť údaje,
- zvážte zmeny procesov, politík a informačných technológií; tam, kde je to relevantné, prehodnoťte aj produkty a služby zahŕňajúce osobné údaje tak, aby bola zabezpečená zhoda s nariadením GDPR,
- vybudujte procesy a infraštruktúru na monitorovanie a vyhodnocovanie porušení ochrany osobných údajov s cieľom vykonať nápravné opatrenia a s cieľom splnenia oznamovacej povinnosti voči dozornému orgánu a dotknutej osobe.
Čo vieme dnes o GDPR?
Je jasné, že GDPR je téma dňa a potvrdzuje to i náš prieskum. Vo firmách vedú implementáciu nariadenia rôzne pozície od IT manažéra, šéfa bezpečnosti až po manažérov právneho alebo finančného oddelenia. GDPR vyvoláva mnoho otázok, pretože v čase písania tohto textu tu je zákon o ochrane osobných údajov a iná súvisiaca legislatíva a normy, avšak nie je zrejmá budúca lokálna legislatívna úprava nariadenia. Tiež, ak je tu právo na „zabudnutie“, asi nebudem môcť prísť na daňový úrad alebo register trestov a povedať, zmažte všetko, čo o mne máte. Ale s určitosťou vieme povedať, že tu máme vysoké reputačné riziko a možnosť, ako posilniť ochranu osobných údajov využívaných na komerčné účely. Áno, GDPR pomôže IT spoločnostiam predávať. Nemá zmysel si pred tým zakrývať oči. Ale u nás v TEMPEST-e máme dlhoročné skúsenosti s takmer všetkými časťami nariadenia a vieme projekt postaviť tak, aby nielen splnil požiadavky nariadenia, ale najmä zvýšil ochranu vášho biznisu alebo súkromia vašich zákazníkov, a to čo najefektívnejšie.
Viac o GDPR na www.tempest.sk/gdpr.