Máte nariadenie GDPR zavedené už dlho? Tak sa potom asi cítite v bezpečí. Prečo sa ale predsa len oplatí prehodnotiť svoj súčasný stav (dokumentáciu, procesy, vedomosti)?
Pretože:
mnoho už zavedených GDPR riešení je formálnych a/alebo nereflektuje nové usmernenia a EÚ regulácie, čo zbytočne zvyšuje riziká v dynamicky sa meniacej legislatíve a pri auditoch,
projekty z rokov 2017–2020 často realizovali “rýchlo-kvasení” dodávatelia; agenda sa odovzdala a ďalej už nebola systematicky udržiavaná.
Kontrolný úrad v rámci konsolidácie získal z rozpočtu iba 10% svojich prevádzkových potrieb. Odporučenie zákonodarcov bolo získať zvyšok na pokutách
Prečo už nestačí mať iba odborníka na GDPR?
Pretože nariadenie GDPR tvorí právny fundament pre osobné údaje; ostatné EÚ regulácie a štandardy dodávajú špecializované pravidlá (bezpečnosť, AI, komunikácie, zdieľanie dát, prístupnosť) a spolu vytvárajú konzistentný rámec dôvery, compliance a interoperability v EÚ digitálnej ekonomike. Preto je potrebné, aby GDPR expert ovládal nielen všetky lokálne zákony, ale aj všetky relevantné EÚ regulácie a synergicky a komplexne ich prepojil s nariadením GDPR.
Aké sú súvislosti EÚ regulácií s nariadením GDPR? Aspoň v krátkosti:
ISO 27001/27701 a NIS2
Podstata: ISO 27001 stanovuje požiadavky na systém manažérstva informačnej bezpečnosti (ISMS); ISO 27701 rozširuje ISMS o riadenie ochrany osobných údajov (PIMS); NIS2 ukladá povinnosti kybernetickej bezpečnosti pre vybrané sektory s dôrazom na riadenie rizík, incident management a dohľad.
Súvis s GDPR: GDPR vyžaduje primerané technické a organizačné opatrenia; ISO 27001/27701 poskytujú osvedčený rámec “ako” ich zaviesť, NIS2 posilňuje povinnosti v oblasti riadenia rizík a hlásení incidentov, čo podporuje zásady integrity, dôvernosti a zodpovednosti podľa GDPR.
SCCs, DPA, BCR, DTIA
Podstata: Štandardné zmluvné doložky (SCCs) a záväzné vnútropodnikové pravidlá (BCR) upravujú medzinárodné prenosy; dohody o spracúvaní (DPA) upravujú vzťah prevádzkovateľ–sprostredkovateľ; posúdenie prenosu (DTIA) hodnotí právne riziká tretích krajín.
Súvis s GDPR: Plnia články 28 (DPA), 44–49 (prenosy do tretích krajín) a zásadu zodpovednosti. Zabezpečujú, aby spracúvanie a prenosy mimo EÚ boli zákonné, primerane chránené a auditovateľné.
Incident Response/Breach Notification
Podstata: Procesy detekcie, eskalácie, vyšetrovania a oznamovania bezpečnostných incidentov a porušení ochrany osobných údajov.
Súvis s GDPR: GDPR články 33–34 vyžadujú oznámenie porušenia do 72 hodín dozornému orgánu a v niektorých prípadoch aj dotknutým osobám; zosúladenie s NIS2 zabezpečí konzistentné lehoty, kompetencie a obsah hlásení naprieč reguláciami.
ePrivacy a cookies/CMP
Podstata: ePrivacy (a súvisiace národné úpravy) upravuje dôvernosť komunikácií a ukladanie/čítanie informácií v koncových zariadeniach (cookies, identifikátory). CMP je mechanizmus na získanie a správu súhlasov.
Súvis s GDPR: GDPR stanovuje právne základy, transparentnosť a práva dotknutých osôb; ePrivacy špecifikuje technické pravidlá pre cookies a elektronické komunikácie. Spolu vyžadujú korektné bannery, granularitu súhlasov a platné logovanie preferencií.
AI Act a ISO 42001
Podstata: AI Act zavádza risk-based povinnosti pre AI systémy (správa rizík, data governance, transparentnosť, dohľad, dokumentácia); ISO/IEC 42001 je štandard pre systém manažérstva AI (AIMS) – procesný rámec pre riadenie AI.
Súvis s GDPR: Pri spracúvaní osobných údajov v AI treba právny základ, DPIA, minimalizáciu, vysvetliteľnosť a práva dotknutých; AI Act dopĺňa špecifické požiadavky pre vysokorizikové systémy. ISO 42001 pomáha tieto požiadavky operacionalizovať a prepojiť s ISMS/PIMS.
Data Act
Podstata: Upravuje prístup, zdieľanie a portabilitu údajov medzi aktérmi (užívatelia, výrobcovia, poskytovatelia služieb), vrátane pravidiel pre cloud switching a B2G prístupy.
Súvis s GDPR: Pri osobných údajoch má prednosť GDPR – právne základy, práva dotknutých, minimalizácia a bezpečnosť zostávajú záväzné. Zmluvy a procesy zdieľania musia reflektovať obmedzenia a povinnosti GDPR.
Accessibility Act
Podstata: Stanovuje požiadavky na prístupnosť produktov a služieb (vrátane digitálnych rozhraní) pre osoby so zdravotným znevýhodnením.
Súvis s GDPR: Podporuje požiadavku GDPR na zrozumiteľné, jasné a férové informovanie – politiky, súhlasy, formuláre a mechanizmy uplatňovania práv musia byť dostupné a použiteľné pre všetkých, čo posilňuje transparentnosť a spravodlivosť spracúvania.
Bez komplexného prístupu už GDPR nestačí
GDPR ostáva pevným základom ochrany osobných údajov, no samo osebe už nestačí. Nové európske regulácie – od NIS2, cez AI Act až po Data Act – prinášajú prísnejšie a špecifickejšie povinnosti, ktoré je potrebné integrovať do procesov, dokumentácie aj firemnej kultúry.
Preto sa oplatí urobiť krok späť a zhodnotiť, či váš systém skutočne odolá auditu, legislatívnym zmenám a rastúcim očakávaniam zákazníkov. Ten, kto bude reagovať včas a komplexne, získa konkurenčnú výhodu – dôveru klientov, stabilitu a vyššiu odolnosť voči rizikám.
