Od 25. mája 2018 začne aj na Slovensku platiť Všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR). Čo sa zmení v oblasti ochrany osobných údajov a ako sa na nariadenie pripraviť?
Nariadenie sa týka všetkých subjektov, ktoré narábajú s osobnými údajmi a spracúvajú ich. V súvislosti s jeho implementáciou do slovenskej legislatívy sa zavádzajú nové povinnosti pre prevádzkovateľov, mnohé však platili už podľa v súčasnosti platného zákona č. 122/2013 Z. z. o ochrane osobných údajov.
Vypočujte si od konateľa spoločnosti i-Secure, s. r. o., špecializujúcej sa na ochranu osobných údajov, informácie o nových pravidlách na ochranu osobných údajov, ktoré odzneli dňa 27. 2. 2018 v Slovenskom rozhlase.
Nahrávku nájdete tu!
Aké sú najdôležitejšie zmeny prichádzajúce s GDPR
Mení sa definícia pojmu „osobný údaj“ ako súhrn znakov určenej alebo určiteľnej osoby, ktorú možno určiť priamo alebo nepriamo na základe všeobecného identifikátora alebo jedného či viacerých znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu. Aj e-mail, IP adresa, lokalizačné údaje či elektronické identifikátory sú podľa GDPR osobné údaje.
Nariadenie považuje za spracúvanie osobných údajov aj sledovanie správania fyzických osôb na internete s využitím technológií, ktoré vytvárajú profily týchto osôb za účelom prijatia rozhodnutia týkajúceho sa týchto osôb alebo analýzy či predvídania ich osobných preferencií, správania a postojov.
Pre časť prevádzkovateľov začne opäť platiť povinnosť vymenovať Zodpovednú osobu (napr. všetky orgány verejnej moci a verejnoprávne subjekty). Táto povinnosť je rozšírená aj na niektorých sprostredkovateľov. Zodpovednou osobou bude môcť byť aj právnická osoba, nielen fyzická osoba, ako to ustanovuje aktuálne platný slovenský zákon o ochrane osobných údajov. Skúška odbornej spôsobilosti na Úrade na ochranu osobných údajov sa ruší, prevádzkovateľ si sám určí kritériá, ktoré musí spĺňať Zodpovedná osoba (Data Protection Officer).
Evidenčná povinnosť bude nahradená povinnosťou vedenia záznamov. Záznamy o spracovateľských operáciách bude povinný viesť nielen prevádzkovateľ, ale aj sprostredkovateľ.
Sprísnia sa požiadavky na súhlas pri spracúvaní osobných údajov. Podľa Nariadenia sa bližšie určujú obsahové a formálne podmienky súhlasu. Musí to byť jasný a aktívny prejav vole dotknutej osoby. Predbežne zaškrtnuté políčka sa nebudú považovať za súhlas. Súhlas nesmie byť podmienený napr. poskytnutím služby či dodaním tovaru. Pri spracúvaní osobných údajov detí do 16 rokov, musí dať súhlas zákonný zástupca.
Významne sa rozširujú práva dotknutých osôb. Každá dotknutá má právo na informácie, ako sú spracúvané jej osobné údaje, má právo na prístup k osobným údajom, na opravu osobných údajov, na vymazanie (zabudnutie), na obmedzenie spracúvania jej osobných údajov, na prenos svojich osobných údajov k inému prevádzkovateľovi, právo namietať spracúvanie na účely priameho marketingu vrátane profilovania.
V zmysle Nariadenia, prevádzkovateľ už nebude musieť vypracovať bezpečnostný projekt, ale musí posúdiť vplyv na ochranu osobných údajov (bezpečnostná analýza). Ak sa preukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré sa nedá zmierniť primeranými opatreniami, prevádzkovateľ by mal pred spracúvaním uskutočniť konzultáciu s Úradom na ochranu osobných údajov.
Zavádzajú sa nové povinnosti pre sprostredkovateľov – napr. povinnosť informovať prevádzkovateľa v prípade porušenia osobných údajov, povinnosť viesť záznamy o spracovateľských činnostiach, povinnosť posúdiť vplyv na ochranu osobných údajov, povinnosť vymenovať zodpovednú osobu, povinnosť vymazať alebo vrátiť údaje prevádzkovateľovi.
Významne sa zvyšujú sankcie za nedodržanie Nariadenia. Podľa nového Nariadenia môžete dostať pokutu až do výšky 20 mil. eur alebo 4 % z ročných celosvetových tržieb spoločnosti.
GDPR zavádza novú povinnosť, tzv. nahlasovanie bezpečnostných incidentov. Každé porušenie osobných údajov bude nutné nahlásiť príslušnému dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín od momentu, keď sa firma o bezpečnostnom incidente dozvedela. Ak sa oznámenie nevykoná do 72 hodín, prevádzkovateľ musí poskytnúť relevantné zdôvodnenie omeškania.
Autorka: Ing. Marcela Ilavská