SK

Nové povinnosti podľa GDPR 1 - Prevádzkovatelia

 

GDPR ukladá firmám a organizáciám niekoľko nových povinností. Tie doteraz zákon o ochrane osobných údajov nepoznal. Nové povinnosti budú mať od 25. mája 2018 prevádzkovatelia osobných údajov aj sprostredkovatelia. V nasledujúcich riadkoch sa zameriame viac na povinnosti prevádzkovateľov.

 

Kto je prevádzkovateľ podľa GDPR?

 

Podľa Čl. 4 ods. 7 GDPR prevádzkovateľ je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov“.

 

Firmy budú musieť podľa GDPR dodržiavať nové práva dotknutých osôb

 

Nová právna úprava zakotvuje právny rámec poskytovania informácií dotknutej osobe, ktoré sa týkajú spracovania jej osobných údajov. Musia sa poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme. Pritom musia byť formulované jasne a jednoducho. Informácie sa poskytujú písomne, elektronicky alebo inými prostriedkami. Na požiadanie môžu byť poskytnuté aj ústne, ale len vtedy, ak sa preukáže totožnosť dotknutej osoby.

 

V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe tieto informácie:

  • totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,

  • kontaktné údaje prípadnej zodpovednej osoby,

  • účely spracovania, na ktoré sú osobné údaje určené, ako aj právny základ spracovania,

  • ak je spracovanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, prevádzkovateľ musí poskytnúť údaje aj o týchto oprávnených záujmoch,

  • príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú

  • v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny.

 

Okrem toho, že dotknuté osoby musia byť dôkladne informované, budú mať po novom aj tieto práva:

  • právo namietať proti spracovaniu ich osobných údajov,

  • právo na vymazanie osobných údajov,

  • právo na prenosnosť údajov - dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi.

 

Naše odporúčanie:

Odporúčame firmám, ktoré spracovávajú osobné údaje vo väčšom rozsahu, aby si pred účinnosťou nariadenia vypracovali informáciu o spracovaní osobných údajov pre dotknuté osoby, rozhodli o spôsobe, ako ich budú informovať a stanovili postupy na vybavenie žiadostí dotknutých osôb v zmysle ich práv podľa GDPR.

 

Kedy budú mať firmy podľa GDPR povinnosť oznámiť porušenie osobných údajov?

 

GDPR zavádza novú povinnosť, tzv. nahlasovanie bezpečnostných incidentov. Každé porušenie osobných údajov bude nutné nahlásiť príslušnému dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín od momentu, keď sa firma o bezpečnostnom incidente dozvedela. Ak sa oznámenie nevykoná do 72 hodín, prevádzkovateľ musí poskytnúť relevantné zdôvodnenie omeškania.

V niektorých prípadoch bude potrebné oznámiť incident aj jednotlivcom. Prevádzkovateľ by mal bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, aby mohla prijať potrebné preventívne opatrenia.

 

V oznámení by sa malo uviesť:

  • povaha porušenia ochrany osobných údajov,

  • odporúčania pre dotknutú fyzickú osobu, ako zmierniť potenciálne nepriaznivé dôsledky

 

Informovanie dotknutých osôb by mala firma vykonať čo najskôr. V tejto súvislosti vzniká prevádzkovateľovi aj nová povinnosť dokumentovať prípady porušenia ochrany osobných údajov.

 

Kedy budú mať firmy podľa GDPR povinnosť posúdiť vplyv na ochranu osobných údajov?

 

Firmy už po novom nebudú mať povinnosť vypracovať bezpečnostný projekt. GDPR zakotvuje prevádzkovateľovi povinnosť posúdiť vplyv na ochranu osobných údajov.

 

V zmysle Čl. 35 GDPR sa posúdenie vplyvu vyžaduje v prípadoch:

  • systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracovaní vrátane profilovania,

  • spracovania osobitných kategórií údajov vo veľkom rozsahu,

  • spracovania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky,

  • systematického monitorovania verejne prístupných miest vo veľkom rozsahu.

 

Úrad na ochranu osobných údajov SR v súčinnosti s ostatnými členskými štátmi Európskej únie vydá zoznam spracovateľských operácií, ktoré budú podliehať požiadavke na posúdenie vplyvu na ochranu osobných údajov.

Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracovanie osobných údajov je v súlade s GDPR.

 

Kedy budú mať firmy podľa GDPR povinnosť konzultovať s dozorným orgánom?

 

Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, mala by sa pred spracovaním uskutočniť konzultácia s úradom. Prevádzkovateľ (prípadne sprostredkovateľ) je povinný požiadať úrad o predchádzajúcu konzultáciu.

 

Kedy budú mať firmy podľa GDPR povinnosť viesť záznamy o spracovateľských činnostiach?

 

Záznamy o spracovateľských činnostiach podľa GDPR nahradia súčasné evidenčné listy. Úrad na ochranu osobných údajov vydá elektronický formulár „Záznam spracovateľských operácií“ so všetkými predpísanými povinnými náležitosťami. Oproti evidenčným listom sa v novom formulári bude musieť navyše uvádzať identifikácia zodpovednej osoby a predpokladané lehoty na vymazanie rôznych kategórií osobných údajov.

 

Každá firma, ktorá zamestnáva viac ako 250 zamestnancov by mala uchovávať záznamy o spracovateľských činnostiach. V prípade kontroly bude povinná poskytnúť tieto záznamy na požiadanie dozornému orgánu.

 

Firmy s menej ako 250 zamestnancami nebudú povinné viesť záznamy k spracovateľským operáciám, ktoré spĺňajú tieto podmienky:

  • nie je pravdepodobné, že spracovanie povedie k riziku pre práva a slobody dotknutej osoby,

  • spracovanie je príležitostné,

  • spracovanie nezahŕňa osobitné kategórie údajov, a

  • spracovanie nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

 

Kedy budú mať firmy podľa GDPR povinnosť vymenovať zodpovednú osobu?

 

Podľa GDPR je povinnosťou niektorých prevádzkovateľov a sprostredkovateľov určiť zodpovednú osobu. Povinne ju budú musieť od 25. mája 2018 vymenovať:

  • orgány verejnej veci a verejnoprávne subjekty (bez ohľadu nato, aké osobné údaje spracovávajú) a

  • firmy, ktorých hlavnou činnosťou je systematické monitorovanie dotknutých osôb vo veľkom rozsahu alebo spracovanie osobitnej kategórie osobných údajov vo veľkom rozsahu.

 

Aj v prípadoch, v ktorých GDPR nestanovuje povinnosť vymenovať zodpovednú osobu, spoločnosti môžu určiť zodpovednú osobu na dobrovoľnej báze. Zodpovednú osobu môže vykonávať aj poverená právnická osoba (firma) na základe zmluvy o poskytovaní služieb. Všetky zodpovedné osoby, poverené podľa aktuálne platného Zákona č. 122/2013 Z. z. v znení neskorších predpisov, budú musieť byť nanovo poverené v zmysle GDPR k dňu jeho účinnosti.

 

GDPR zavádza tzv. pseudonymizáciu osobných údajov

 

Pseudonymizácia je oddelenie údajov od priamych identifikátorov, takže spojenie s určitou osobou nie je možné bez dodatočných informácií, ktoré sú vedené oddelene.

GDPR definuje pseudonymizáciu ako „spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií."

 

V praxi to funguje tak, že určitý podsúbor údajov sa oddelí od ostatných údajov, a takto už nie je možné identifikovať osobu, ktorej sa údaje týkajú. Náročnosť tohto procesu závisí napríklad od:

  • množstva spracovávaných osobných údajov,

  • od spôsobu, akým sú spracovávané.

 

Pseudonymizácia môže výrazne znížiť riziká spojené so spracovaním údajov a súčasne zachovať ich užitočnosť.

  

Aké povinnosti stanovuje GDPR firmám v prípade profilovania?

 

Profilovanie je v súčasnosti bežne používaný marketingový nástroj pri maloobchodnom predaji cez internet. Ide o spracovanie veľkého množstva údajov rozličných osôb, ktoré pozostáva z analýzy a kombinovania dát prostredníctvom zložitých algoritmov, za účelom hľadania presne definovaných vzťahov. Výsledkom tohto procesu sú profily aplikovateľné na skupiny ľudí. Bežným príkladom na prevádzkovateľov, používajúcich profilovanie, sú napríklad cestovné a realitné kancelárie alebo e-shopy s maloobchodným predajom, ktoré profilujú svojich návštevníkov za účelom lepšieho cielenia reklamy.

 

GDPR stanovuje prevádzkovateľom nasledovné povinnosti v súvislosti profilovaním:

  • musia získať súhlas dotknutej osoby,

  • musia informovať dotknutú osobu o použitom postupe a účele profilovania

  • musia vykonať posúdenie vplyvu na ochranu osobných údajov,

  • pred začatím spracovania údajov musia konzultovať s Úradom na ochranu osobných údajov,

  • musia vymenovať zodpovednú osobu

 

TIP PRE VÁS: 

Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!

GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút.  Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!

Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!

My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.

Objednajte si u nás nezáväznú Rozdielovú analýzu

Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.