Európsky parlament prijal 27. apríla 2016 Všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Používa sa preň skratka GDPR (General Data Protection Regulation).
Nariadenie začne platiť vo všetkých členských štátoch EÚ od 25. mája 2018.
Toto sú najdôležitejšie zmeny prichádzajúce s GDPR:
Mení sa definícia pojmu „osobný údaj“ ako súhrn znakov určenej alebo určiteľnej osoby, ktorú možno určiť priamo alebo nepriamo na základe všeobecného identifikátora alebo jedného či viacerých znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Aj e-mail alebo IP adresa bude osobný údaj. GDPR odporúča prevádzkovateľom prijať opatrenia ako anonymizáciu, pseudonymizáciu, minimalizáciu osobných údajov a posudzovať vplyv na spracúvanie osobných údajov (impact assesment).
Pre časť prevádzkovateľov začne opäť platiť povinnosť vymenovať Zodpovednú osobu (napr. všetky orgány verejnej moci a verejnoprávne subjekty). Táto povinnosť je rozšírená aj na niektorých sprostredkovateľov. Zodpovednou osobou bude môcť byť aj právnická osoba, nielen fyzická osoba, ako to ustanovuje aktuálne platný slovenský zákon o ochrane osobných údajov. Skúška odbornej spôsobilosti na Úrade na ochranu osobných údajov sa ruší, prevádzkovateľ si sám určí kritériá, ktoré musí spĺňať Zodpovedná osoba (Data Protection Officer).
Evidenčná povinnosť bude nahradená povinnosťou vedenia záznamov. Záznamy o spracovateľských operáciách bude povinný viesť nielen prevádzkovateľ, ale aj sprostredkovateľ.
Podľa Nariadenia, ak dôjde k porušeniu ochrany osobných údajov, bude potrebné oznámiť toto porušenie dozornému orgánu najneskôr do 72 hodín.
Sprísnia sa požiadavky na súhlas pri spracúvaní osobných údajov. Podľa Nariadenia sa bližšie určujú obsahové a formálne podmienky súhlasu. Pri spracúvaní osobných údajov detí do 16 rokov, musí dať súhlas zákonný zástupca.
Ak sú osobné údaje spracúvané protizákonne alebo dotknutá osoba odvolá súhlas so spracúvaním, má právo „byť zabudnutý“. Právo na výmaz osobných údajov GDPR koncipuje širšie ako aktuálne platný zákon o ochrane osobných údajov. Zavádza sa nové „právo na prenosnosť údajov“ a povinnosť „privacy by design and by default“.
V zmysle Nariadenia, prevádzkovateľ už nebude musieť vypracovať bezpečnostný projekt, ale musí posúdiť vplyv na ochranu osobných údajov (bezpečnostná analýza). Ak sa preukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré sa nedá zmierniť primeranými opatreniami, prevádzkovateľ by mal pred spracúvaním uskutočniť konzultáciu s Úradom na ochranu osobných údajov.
Zavádzajú sa nové povinnosti pre sprostredkovateľov.
Významne sa zvyšujú sankcie za nedodržanie Nariadenia. Podľa nového Nariadenia môžete dostať pokutu až do výšky 20 mil. eur alebo 4 % z ročných celosvetových tržieb spoločnosti.
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.