Sú vaši zamestnanci vyškolení, ako narábať s osobnými údajmi?

Svojho času preletel aj slovenskými médiami článok, ktorý bol pôvodne uverejnený portáli BBC pod názvom “Nariadenie GDPR zneužité na odhaľovanie osobných údajov”. V skratke, študent Oxfordskej univerzity, James, sa dohodol so svojou snúbenicou, že v rámci experimentu sa pokúsi zistiť jej osobné údaje, ktoré sa nachádzajú v rôznych inštitúciách.

Pýtate sa, ako je možné, že zákon, ktorý má vaše údaje chrániť, ich ponúka cudzím ľuďom? Odpoveď je veľmi jednoduchá! GDPR dáva dotknutým osobám práva: 

  • Právo na informácie: máte právo vedieť, aké údaje o vás spoločnosť spracúva, odkiaľ ich získala, na aký účel ich zamýšľa používať a na akom právnom základe, či ich zamýšľa prenášať do zahraničia, s kým ich zdieľa, a aké sú lehoty na výmaz
  • Právo na opravu: máte právo požadovať od spoločnosti, aby vaše osobné údaje boli správne
  • Právo na prenos: v prípade automatizovaného spracovania máte právo na to, aby vaše údaje boli prenesené v štandardnom elektronickom formáte do inej spoločnosti
  • Právo namietať spracúvanie: nie je to síce právo absolútne, ale predsa len, za určitých okolností máte právo namietať určité spracovateľské operácie
  • Právo na výmaz: podobne ako právo na obmedzenie spracúvania, nie je absolútne, ale za určitých okolností aplikavateľné

Práva dotknutej osoby sú naviazané na povinnosti prevádzkovateľa, teda spoločnosti, ktorá tie osobné údaje spracúva. Nariadenie GDPR zaväzuje prevádzkovateľa, aby svoje povinnosti splnil bez zbytočného odkladu, najneskôr však do 30 dní a bezodplatne, ak ide o prvú požiadavku danej dotknutej osoby.

Takže, ak od vás ako od firmy dotknutá osoba žiada informáciu, opravu, výmaz alebo namieta spracúvanie, urobiť to musíte, inak vám hrozí, že sa naštvaná dotknutá osoba obráti na dozorný orgán a to nikomu netreba.

Riešenie

Naozaj je potrebné ako prvé nastaviť kritéria overovania identity dotknutej osoby. Tie kritéria sa čo do komplexnosti budú odlišovať podľa toho, aká je rizikovosť operácií, aká by bola možná spôsobená škoda. Predstavte si dom, ktorý ste prácne niekoľko rokov budovali. Spočiatku ste možno mali staré okná a dvere, neskôr ste investovali do bezpečnostného zámku a dnes, keď už je plný cenných vecí, máte možno aj alarm a kameru.

Ľudia nedodržiavajú predpisy, respektíve predpísané postupy. A to je občas nebezpečné. A môže to byť aj drahé, pokiaľ svojim nerozvážnym konaním spôsobia zamestnávateľovi škodu. Ako bývalý headhunter, ktorý zisťoval pre klienta podstatné skutočnosti dlho pred rozšírením internetu a nástupom sociálnych sietí na scénu, by som vedela rozprávať, čo všetko vám ľudia povedia, aj keď nesmú. Riešenie je jednoduché. Stačí:

  • nastaviť proces a kritéria overovania identity dotknutej osoby
  • zaškoliť zamestnancov
  • stanoviť si bezpečnosť a ochranu osobných údajov ako prioritu
  • reálne dodržiavať svoje vlastné smernice

Takže vlastne nič nové pod slnkom, toto fungovalo už pred GDPR. Ak zamestnanec, či už je to recepčná alebo ktokoľvek iný, nevie žiadateľa (dotknutú osobu) dôveryhodne identifikovať, tak musí trvať na svojom a požadovanú informáciu neposkytnúť. K tomu potrebuje poznať ten proces a pokojne žiadateľovi vysvetliť, ako jeho žiadosť o informácie spracuje.

Social Engineering 

Potvrdzuje to aj príbeh tohto nášho výskumníka z Oxfordu. Dôležité je povedať, že počas svojho pokusu nevytváral falošné potvrdenia, nepodpisoval dokumenty menom svojej snúbenice, neposielal e-maily so záhlaviami sfalšovanými tak, aby to vyzeralo ako e-mail do dotknutej osoby. Myslím, že ak by šiel až tak ďaleko, jeho úspešnosť by bola oveľa vyššia.  

Namiesto toho sa mu podarilo presvedčiť spoločnosti, ktoré žiadali silné ID, ako napríklad pas alebo vodičák, aby akceptovali náhradné dokumenty. Napríklad namiesto požadovanej fotokópie pasu presvedčil zamestnanca vlakového prevádzkovateľa, aby akceptoval poštou riadne opečiatkovanú obálku na adresu svojej snúbenice. V inom prípade spoločnosť akcpetovala fotografiu bankového výpisu ktorý bol vybielený tak, že jediné viditeľné informácie boli meno a adresa. 

Reálne dodržiavať svoje vlastné smernice

Či sa to niekomu páči alebo nie, ale zamestnanci vždy napodobujú prístup a správanie vedúcich pracovníkov. Inak povedané, ak zamestnanci vidia, že ochrana osobných údajov je pre vás na smiech alebo vyslovená otrava, tak aj oni budú brať svoje povinnosti súvisiace s ochranou osobných údajov len ako čosi, čo musia urobiť pro forma. Potom je len otázkou času, kedy nastane prvý vážnejší problém a koľko vás to bude stáť. 

Keď už si teda niečo dohodnete a popíšete, tak to aj dodržujte. Ak sa to dodržiavať nedá, tak je to zle popísané a treba to aktualizovať. A ak sa vám zdá, že všetko je v poriadku, tak si skúste urobiť aspoň raz za rok inventúru vo vlastných smerniciach, vyhodiť alebo prepísať tie, ktoré už doslúžili. 

Ja sa už roky riadim pravidlom “dúfaj v najlepšie, pripravuj sa na najhoršie”. 

Vy s vašim šéfom pre bezpečnosť, privacy managerom alebo zodpovednou osobou môžete porozmýšľať: 

  • Máme klasifikovanú dôverenosť dokumentov, a ak áno, tak sú klasifikované správne?
  • Ako kontrolujeme dodržiavanie dôvernosti?
  • Kto bude overovať identitu dotknutej osoby? 
  • Ako ju bude overovať? 
  • Aké nástroje mu k tomu potrebujeme zabezpečiť? 
  • Sú tie nástroje bezpečné?
  • Kto za bezpečnosť nástrojov a overovacích kritérií bude zodpovedať? 
  • Ako a kto zaškolí zamestnanca/ zamestnancov?
  • Ako často budeme preškoľovať a prehlbovať tieto zručnosti? 

Ak sa nemáte na koho obrátiť, alebo si chcete overiť, ako na tom ste, ozvite sa.