Dáta sú jedným zo základných stavebných pilierov každej firmy. To však niekoľkonásobne platí pre Dun & Bradstreet, ktorý podniká v oblasti poskytovania informačných služieb o firmách a podnikateľoch. Pravidlá ochrany osobných údajov sa zmenili a ovplyvnili aj spôsob spracovania a využívania informácií o firmách. Požiadavky, ktoré prináša GDPR, taktiež predstavujú nové výzvy pre podnikové informačné systémy a procesy.
Na ktoré údaje sa GDPR vzťahuje?
GDPR upravuje zaobchádzanie s osobnými údajmi fyzických osôb. Kontaktných údajov právnických osôb sa teda tento predpis priamo netýka. Osobnými údajmi však nie sú len údaje, ktoré obsahujú meno určitej osoby, ale aj pseudonymizované údaje a podobné informácie, ktoré sú síce na prvý pohľad zašifrované, ale ich spracovateľ je schopný ich spätne priradiť ku konkrétnej osobe. Typickým príkladom nepriamych osobných údajov sú telefónne čísla, čísla kreditných kariet, online identifikácia osôb alebo prístrojov (IP adresy, cookies).
Pre ochranu osobných údajov neplatia hranice
GDPR sa vzťahuje nielen na spoločnosti so sídlom v EÚ, ale aj na podniky so sídlom v niektorej tretej krajine, pokiaľ zároveň ponúkajú svoje služby občanom z krajín EÚ alebo spracovávajú osobné údaje občanov EÚ. To znamená, že sídlo spracovateľa osobných údajov nachádzajúce sa v zahraničí samo o sebe už neochráni prípadného previnilca pred dopadmi sankcií za porušovanie európskeho práva.
Čo sa s účinnosťou GDPR mení?
Po dvojročnom prechodnom období 25. mája 2018 nadobudlo účinnosť európske Všeobecné nariadenie o ochrane osobných údajov, známe ako GDPR (General Data Protection Regulation). Účelom GDPR je zjednotenie štandardov ochrany osobných údajov vo všetkých krajinách v rámci Európskej únie. Nariadenie GDPR v mnohých oblastiach zjednocuje požiadavky, ktoré boli v Slovenskej republike už vyžadované podľa zákona o ochrane osobných údajov. Zmeny, ktoré vstúpili do platnosti, tak nepredstavujú úplne zásadné novinky, napriek tomu ale stanovujú nové povinnosti.
- Vždy musí byť zabezpečená zákonnosť spracovania osobných údajov. Každý proces spracovania musí mať stanovený konkrétny účel a právny dôvod.
- Dodržiavanie práv fyzických osôb (subjektov údajov) dotknutých spracovaním ich osobných údajov. K povinnostiam patrí zabezpečenie transparentnosti procesu spracovania, riadne informovanie, rovnako ako zodpovedanie prípadných otázok k rozsahu a účelu spracovania údajov. K právam subjektov údajov patria požiadavky ohľadom opravy alebo výmazu, obmedzenie ich spracovania alebo umožnenie prenosu osobných údajov medzi rôznymi správcami.
- Privacy by design – ochrana osobných údajov sa musí brať do úvahy pri tvorbe nových produktov a služieb, aj pri nastavení všetkých procesov spracovania osobných údajov.
- Musia sa udržiavať vhodné organizačné opatrenia zamerané na ochranu osobných údajov.
Čo GDPR znamená pre spracovateľa kreditných a marketingových informácií o firmách?
Dun & Bradstreet vytvára databázy a zostavuje z nich informačné produkty, aby mohol poskytovať služby s rôznym účelom a pre odlišné cieľové skupiny. Preto zhromažďuje dáta z rozdielnych zdrojov a tieto dáta ďalej štruktúruje, segmentuje, radí, analyzuje a spracováva ešte predtým, ako sa dostanú do informačných produktov. Na Slovensku sa pritom sústreďuje na informácie o hospodárskej činnosti a výkonnosti podnikateľských subjektov na trhu (kreditné informácie), a tiež na vyhľadávanie informácií za účelom realizácie obchodných a marketingových stratégií alebo na tvorbu analýz trhu (marketingové informácie).
K zdrojom, na základe, ktorých Dun & Bradstreet vytvára databázy, patrí priamy zber údajov (napríklad prostredníctvom rozhovorov cez telefón), verejné registre a úradné oznámenia (napríklad informácie z tlače alebo internetu).
Ochrana osobných údajov pre Dun & Bradstreet predstavuje hlavný princíp a zároveň kľúčové opatrenie, ktoré vytvára vzájomnú dôveru. Zákazníci Dun & Bradstreet celkom oprávnene očakávajú, že dostanú sprostredkovane len také údaje, ktoré boli zhromaždené a spracované podľa práva a zákonným spôsobom.
Ako Dun & Bradstreet realizuje požiadavky v oblasti ochrany osobných údajov
GDPR obsahuje celú skupinu požiadaviek vrátane riadneho vytvárania dokumentácie pri procesoch spracovania údajov alebo prijatí vhodných ochranných a bezpečnostných opatrení. Spoločnosť Dun & Bradstreet na tento účel zaviedla v celej skupine mimo iné softwarovo chránený systém tvorby dokumentácie, ktorý umožňuje štruktúrované zachytenie procesov spracovania údajov. Všeobecné nariadenie GDPR priznáva subjektom údajov práva, ktorá Dun & Bradstreet v plnom rozsahu umožňuje uplatniť. Subjekt údajov má predovšetkým právo na to byť informovaný o spracovaní svojich osobných údajov. Ide hlavne o informácie o účele spracovania, totožnosti správcu, o jeho oprávnených záujmoch, o zdrojoch a príjemcoch osobných údajov. Rovnako tak zamestnanci Dun & Bradstreet sú pravidelne školený ako všeobecne, tak aj s ohľadom na špecifické oblasti ochrany údajov a bezpečnosti informačných systémov.
Zákonnosť spracovania osobných údajov
Najdôležitejšou požiadavkou v oblasti ochrany osobných údajov je, že každý proces spracovania osobných údajov musí byť vykonávaný podľa zákonných predpisov, teda podľa GDPR. Podnikanie Dun & Bradstreet týkajúce sa poskytovania informácií na účel podpory podnikania zákazníkov v oblasti riadenia kreditného rizika sa riadi právnym titulom podľa článku 6 ods. 1 písm. f) GDPR, podľa ktorého GDPR dovoľuje spracovanie osobných údajov aj bez súhlasu subjektov údajov, ak spracovanie slúži oprávnenému záujmu a záujmy ochrany základných práv a slobôd dotknutej osoby neprevažujú. V oblasti spracovania kreditných údajov sa uznáva, že ochrana pred rizikom nezaplatenia pohľadávok a previerka dodávateľov alebo obchodných partnerov je primeraným dôvodom pre uplatnenie oprávneného záujmu. Na tento účel je možné obstarávať informácie o bonite podnikateľských subjektov od spoločností zaoberajúcich sa poskytovaním informácií o firmách, a oproti tomu môžu byť takéto informácie od poskytovateľov služieb, ako je Dun & Bradstreet, zhromažďované a na vyžiadanie poskytované. Aj v oblasti tvorby marketingových a obchodných stratégií podnikateľských subjektov je prípustné využitie produktov za predpokladu, že oslovovanie klientov je postavené na oprávnenom záujme správcu a tento záujem nie je v rozpore so základnými právami a slobodami subjektov údajov. V prípade spracovania marketingových dát je nutné byť pripravený reagovať na prípadné námietky voči spracovaniu osobných údajov subjektov údajov na účely marketingu a také spracovanie eventuálne zastaviť. Dun & Bradstreet dobu uloženia osobných údajov vo svojich informačných systémoch vždy starostlivo pomeruje s účelom spracovania s ohľadom na splnenie požiadavku minimalizácie uchovávaných údajov.
Zákazníci Dun & Bradstreet , ktorí využívajú informačné systémy a dátové služby sa môžu spoľahnúť na to, že Dun & Bradstreet vo všetkých krajinách, kde pôsobí, od zhromažďovania cez spracovanie až po odovzdanie údajov, dodržiava všetky relevantné právne rámcové podmienky.
Právo na ochranu dát nie je špeciálnym právom len pre spoločnosti, ktoré sa zaoberajú poskytovaním informácií o firmách alebo pre poskytovateľov informácií. Platí pre každého, kto osobné údaje spracováva. Požiadavky, ktoré prináša GDPR, tak predstavujú nové výzvy pre podnikové informačné systémy a procesy všetkých firiem. Dun & Bradstreet je na GDPR pripravený a pomoc v tejto oblasti ponúka aj svojim zákazníkom. Klienti najčastejšie v Dun & Bradstreet dopytujú overenie existencie jednotlivých kontaktov vo verejnej časti internetu, identifikáciu a vyčistenie firemných databáz o už neexistujúce a nerelevantné dáta a v neposlednej rade radia s prípravou a implementáciou procesov a všetkých potrebných dokumentov.