Vadí vám, keď týždenne riešite stovky reklamných emailov, ktoré vás oberajú  o drahocenný čas? Prípadne vás na porade či obede otravuje neodbytný predajca s cieľom predať vám aj „hodinky s vodotryskom“? Pritom, keď sa ho spýtate, odkiaľ má na vás kontakt, zahapká a pokračuje v jeho „neodmietnuteľnej“ ponuke určenej len a len pre vás. Aj tieto otázky rieši nový zákon o ochrane osobných údajov. Toto je tá lepšia stránka prínosov nového zákona. No každá minca má 2 strany a keďže neznalosť neospravedlňuje a ani nie je poľahčujúca okolnosť, je dôležité vedieť, na koho sa tento zákon vzťahuje.   

Naozaj sa nás to netýka?

Poviete si, nás sa to netýka. Ale veľa firiem prichádza do kontaktu s osobnými údajmi a často si to ani neuvedomuje. Napríklad mať kamerový systém pre ochranu svojho majetku má tiež svoje pravidlá a nie každý priestor môže byť snímaný bez toho, aby o tom boli ľudia informovaní. Majú vaši predajcovia osobné údaje vašich klientov na svojich notebookoch v excelovských tabuľkách? Spravovať databázu klientov sa stáva náročnejšie a musí spĺňať jasné pravidlá. Vymáhate pohľadávky svojich dlžníkov v dobrej viere získať to, čo na čom ste sa dohodli? Zasielajú vám uchádzači o zamestnanie svoje osobné údaje v životopisoch? Musíte pritom od nich požadovať súhlas na ich spracúvanie? Že nie, tak potom aké povinnosti sú pri nábore zamestnancov? Musíte personálny informačný systém registrovať na úrade? Ak nie, aké povinnosti by ste teda mali v súvislosti s personálnym IS zabezpečiť? Ktoré IS treba registrovať na úrade? Máte už pripravené poučenie oprávnenej osoby na prácu s osobnými údajmi? Zostáva vám naň asi toľko ako na prípravu vianočných koláčov?

Ak sa pozrieme na ochranu osobných údajov projektovo, existuje jasný proces činností a úloh, ktoré musí každá firma spraviť, aby splnila v požadovanom termíne požiadavky zákona. Veľa firiem rieši projekt ochrany osobných údajov externým dodávateľom. Dôležitý je fakt, že ak si firma objedná externého dodávateľa na realizáciu projektu o ochrane osobných údajov, jeho zodpovednosť je stále na firme. Za ochranu osobných údajov naďalej zodpovedá konateľ, resp. majiteľ firmy. Zodpovednosť sa neprenáša na firmu, ktorá dodáva projekt. Práve preto sa treba už na začiatku tvorby projektu o ochrane osobných údajov vyvarovať možným nejasnostiam, ktoré môžu vyplývať zo vzájomného nepochopenia objednávateľa a zadávateľa.

Ideálny postup  pri realizovaní projektu prostredníctvom externej firmy je postupovať projektovo. Nestraťte sa v detailoch. Odporúčame:

1. Definovať konkrétne potreby firmy

  • Identifikovať relevantné požiadavky zákona pre konkrétneho objednávateľa.
  • Analyzovať rozsah spracúvaných údajov, identifikovať všetky zainteresované strany a relevantné informačné systémy.
  • Zistiť a preveriť aktuálny stav manipulácie s osobnými údajmi a bezpečnostných opatrení, ktoré sú už vo firme implementované.

2. Definovať si projektové ciele a neciele

  • Aké sú povinnosti objednávateľa a dodávateľa.
  • Jasne popísať, čo už nie je súčasťou projektu.

3. Definovať si kritériá úspešnosti projektu

  • Definovať, ako má vyzerať výstup projektu.
  • Jasné pravidlá, na základe ktorých budeme projekt vyhodnocovať.

4. Vytvorenie si komplexného plánu projektu (WBS)

  • Definovať si rozsah projektu.
  • Definovať si požadovanú kvalitu, formu a štandard výstupov.

5. Definovať si časový horizont realizácie projektu

  • Začiatočný termín a počiatočná udalosť.
  • Konečný termín a ukončovacia udalosť.

6. Definovať si požadované vstupy, formu a čas, ktoré bude od vás externý dodávateľ požadovať.

7. Odsúhlasiť si rozpočet projektu

  • Definovať rozpočet.
  • Odsúhlasiť rozpočet.

8. Definovať si jasné míľniky – majte projekt pod kontrolou, priebežne sledujte implementáciu vášho projektu a nečakajte na aktivitu externej dodávateľskej firmy.

9. Definovať si poprojektové očakávania od dodávateľa – pravidelné audity vás budú informovať o možných odchýlkach od požiadaviek zákona.

Nedajte sa zlákať lacnými riešeniami, ktoré vám neprinesú požadovanú úroveň výstupov. Hrozí vám riziko, že vám externá firma dodá štandardný projekt za nízku cenu a následne bude od vás požadovať vysoké sadzby za potrebné hodinové konzultácie. Buďte partnerom externej firmy, ktorá vám dodáva projekt ochrany údajov.

Pýtajte sa správne otázky:

  • Ako mi pomôže dodávateľ eliminovať riziko pokuty za pochybenia vyplývajúce zo zákona?
  • Aká je časová náročnosť realizácie projektu ochrany osobných údajov?
  • Aké sú najčastejšie pochybenia firiem pri externých dodávkach projektu ochrany osobných údajov?

Čo treba urobiť ešte do konca roka?

  • Identifikovať všetky informačné systémy osobných údajov.
  • Vykonať nové poučenie oprávnených osôb.
  • Evidovať informačné systémy alebo ich registrovať na úrade.

Dôležité míľniky v roku 2014:

  • Do 31. 3. 2014
    • Zosúladiť bezpečnostnú dokumentáciu (prijaté bezpečnostné opatrenia, bezpečnostnú smernicu alebo bezpečnostný projekt).
  • Do 30. 6. 2014
    • Zosúladiť vzťah medzi prevádzkovateľom a sprostredkovateľom písomnou zmluvou v zmysle zákona.
    • Písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu.

Atraktívne príklady a poznatky z praxe:

  • Prevádzkovateľ osobných údajov vypísal súťaž na aktualizáciu bezpečnostnej dokumentácie bez ďalších znalostí zákona. Víťaz súťaže predmet diela dodal a prevádzkovateľ s vedomím, že naplnil svoje očakávania splniť požiadavky zákona, zostal prekvapený, keď ho dodávateľ stále priebežne upozorňuje na „množiace sa“ povinnosti, ktoré musí zabezpečiť. Ako by tá agenda zrazu nemala konca, náklady na jej zabezpečenie sa tak môžu stať „bezodné“.
  • Bezpečnostná dokumentácia sa množí ako vírus. Komunity intenzívne spolupracujú a stávajú sa z nich spriaznené duše, bez ohľadu na to, či obsah dokumentácie odzrkadľuje ich skutočné podmienky manipulácie s osobnými údajmi. Často ani netušia, čo je v tých dokumentoch napísané, lebo tomu jednoducho nerozumejú.
  • Informačný systém s osobnými údajmi sa často chybne považuje za softvérovú aplikáciu bez ohľadu na to, aká sada úkonov sa s danou jednou databázou vykonáva. Potom dochádza k združovaniu účelu používania osobných údajov a porušovaniu zákona, hrozbe pokuty z nevedomosti.

Prečo ochranu osobných údajov riešiť projektovo?

  • Ochrana osobných údajov sa týka veľkého počtu zamestnancov.
  • Projekt ochrany osobných údajov je komplexná problematika celej firmy.
  • Ide o náročný a dynamický projekt.
  • Zákon prináša nový pohľad na ochranu osobných údajov a jeho dosah je širší ako doteraz.
  • Existujú jasne stanovené termíny a zodpovednosti vo firme.
  • Vyššia prehľadnosť v procese implementácie.
  • Vyššia dôslednosť a systematická schopnosť dodržiavania povinností.

Príspevok bol pripravený v spolupráci s Erikou Slivovou, ANASOFT APR.