Významné zmeny v oblasti ochrany osobných údajov - General Data Protection Regulation (GDPR)
GDPR je európske nariadenie prijaté za účelom zjednotenia pravidiel pre všetky členské štáty EÚ v oblasti ochrany osobných údajov, ktoré vstúpi do účinnosti dňa 25.05.2018.
GDPR zavádza množstvo nových ustanovení, ktoré v sebe zahŕňajú, najmä zvýšenie pokút za porušenie povinností, oznámenia o porušení práva, súhlas so zamietnutím povolenia a ustanovenie zodpovednej osoby. Dopad na podnikateľské subjekty bude zásadný a zmení spôsob zhromažďovania, ukladania a používania osobných údajov o obchodných partneroch, zákazníkoch a zamestnancoch.
Podnikateľské subjekty sú nútené prijať a vykonávať bezpečnostné a systémové opatrenia, aby zabezpečili ochranu osobných údajov v súlade s GDPR, a preto je nevyhnutné mu venovať náležitú pozornosť.
Prehľad základných zmien
A. Definícia pojmu „osobné údaje“ v zmysle GDPR
Za osobné údaje sa považujú akékoľvek informácie týkajúce sa dotknutej osoby, ktorú možno identifikovať priamo alebo nepriamo na základe identifikátora, ako je meno, identifikačné číslo alebo iné prvky, ktoré sú špecifické iba pre jednotlivca.
Nová úprava ochrany osobných údajov v sebe zahŕňa aj spracovanie genetických a biometrických údajov jednotlivcov, ktorých spracovanie podlieha oveľa prísnejším pravidlám ochrany.
Obsah pojmu „osobné údaje“ sa na základe GDPR rozšíril aj o ďalšie údaje, ktoré vedú k identifikácii osobných dát jednotlivcov s ohľadom na on-line identifikátory, ako je napr. IP adresa alebo cookies.
Obsah pojmu „osobné údaje“ sa na základe GDPR rozšíril aj o ďalšie údaje, ktoré vedú k identifikácii osobných dát jednotlivcov s ohľadom na on-line identifikátory, ako je napr. IP adresa alebo cookies.
B. Udelenie súhlasu
Súhlas so spracovaním osobných údajov nie je žiadnou novinkou, nakoľko bol vyžadovaný aj pôvodnou právnou úpravou.
Napriek tomu sa podmienky udelenia súhlasu prostredníctvom GDPR sprísnili, keďže sa kladie dôraz aj na formu, v ktorej má byť súhlas dotknutou osobou udelený. Je dôležité, aby súhlas bol jednoduchý, zrozumiteľný a ľahko dostupný. Nemožno podmieňovať udelenie súhlasu neposkytnutím služby.
C. Právo prístupu a právo byť zabudnutý
Nariadením boli v značnom rozsahu rozšírené aj práva dotknutých osôb.
Právo prístupu je prejavom posilnenia právomoci jednotlivcov požadovať od správcu jeho osobných údajov potvrdenie o tom, kde a za akým účelom sú spracovávané údaje, ktoré sa ho týkajú. Prevádzkovateľ je povinný bezplatne poskytnúť kópiu osobných údajov v elektronickej podobe.
Právo na zabudnutie oprávňuje dotknutú osobu, aby prevádzkovateľ bezodkladne vymazal osobné údaje, zastavil ďalšie šírenie údajov a potenciálne tretie osoby zastavili spracovanie týchto údajov. Povinnosť výmazu je daná v takom prípade, ak ide o údaje, ktoré už nie sú relevantné na pôvodné účely na spracovanie, alebo osoby odobrali udelený súhlas, prípadne sa osobné údaje spracúvali nezákonne.
D. Oznamovacia povinnosť
Za predpokladu vzniku bezpečnostného incidentu spočívajúceho v úniku osobných údajov je zavedená povinnosť podnikateľských subjektov (v postavení prevádzkovateľov aj sprostredkovateľov) ohlásiť Úradu na ochranu osobných údajov vznik bezpečnostného incidentu najneskôr do 72 hodín od jeho zistenia.
V prípade existencie väčšieho rizika zásahu do práv dotknutých osôb je povinnosť podnikateľských subjektov kontaktovať aj samotné dotknuté osoby, ktorých osobné údaje môžu byť bezpečnostným incidentom ohrozené.
E. Rozsah používania osobných údajov
V zmysle GDPR rozsah použitia osobných údajov dotknutých osôb musí byť zabezpečený prevádzkovateľom a sprostredkovateľom prostredníctvom technických a bezpečnostných opatrení len v rozsahu, aký sa požaduje na dosiahnutie účelu najmä s ohľadom na množstvo a rozsah spracúvaných osobných údajov, dobu a dostupnosť ich uchovávania.
Najúčinnejšími bezpečnostnými opatreniami prijatými na ochranu osobných údajov sú šifrovanie a pseudonymizácia.
Pod pojmom „pseudonymizácia“ zavedeným GDPR rozumieme spracovanie osobných údajov takým spôsobom, aby získané údaje nebolo možné pripísať konkrétnej osobe bez použitia dodatočných informácií, ktoré sú technicky a organizačne uchovávané oddelene tak, že ich nie je možné priradiť k identifikovanej alebo identifikovateľnej osobe.
F. Zodpovedná osoba
Zodpovednou osobou sa podľa GDPR rozumie osoba poverená prevádzkovateľom alebo sprostredkovateľom zabezpečovaním dohľadu nad ochranou osobných údajov pri ich spracúvaní a uchovávaní. Táto osoba bude povinná počas celej doby zabezpečovať súlad spracovávania a uchovávania osobných údajov s GDPR, komunikovať s Úradom na ochranu osobných údajov a poskytovať informácie zamestnancom.
Ustanovenie zodpovednej osoby nie je obligatórnou povinnosťou všetkých prevádzkovateľov a sprostredkovateľov.
G. Sankcie
Za najzásadnejšiu zmenu v legislatíve ochrany osobných údajov je možné považovať pokuty, ktoré môžu byť v prípade porušenia povinností upravených v GDPR a porušenia bezpečnosti ochrany osobných údajov uložené podnikateľským subjektom vo výške 4 % z celkového ročného obratu až do výšky 20 mil. EUR.
Naše služby
1. GAP Analýza
- porovnanie aktuálneho stavu ochrany osobných údajov vo Vašej spoločnosti so stavom vyžadovaným na základe GDPR
- návrh opatrení a odporúčaní nevyhnutných na zosúladenie stavu s GDPR
- preskúmanie internej dokumentácie a používaných informačných systémov
- posúdenie plnenia povinností vyplývajúcich z GDPR
- porovnanie rizikové miesta a činnosti na únik osobných údajov
- porovnanie
2. Príprava dokumentácie
- zosúladenie dokumentácie s GDPR
- príprava bezpečnostných smerníc, iných vnútroorganizačných poriadkov a ďalších dokumentov potrebných pre zabezpečenie ochrany osobných údajov podľa GDPR
3. Návrh technického zabezpečenia počítačov
- technickú stránku pre implementáciu GDPR podporne zabezpečujeme aj prostredníctvom spoločnosti SINO s.r.o. a produktu SINO Zero client, ktorý zabezpečuje maximálnu bezpečnosť a ochranu osobných údajov.
4. Vypracovanie ďalších odporúčaní
- odporučenie ustanovenia zodpovednej osoby
- návrhy pre komunikáciu s úradmi a dotknutými osobami
- návrh kontrolných mechanizmov na preverovanie plnenia povinností v zmysle GDPR