Všeobecné nariadenie o ochrane osobných údajov (GDPR = General Data Protection Regulation) má nahradiť Smernicu EP a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
Nové nariadenie GDPR nadobudne účinnosť 25. mája 2018. Nariadenie GDPR je priamo uplatniteľné v každom členskom štáte a povedie k väčšej harmonizácii ochrany osobných údajov členských štátov EÚ.
Malé firmy i veľké spoločnosti už prijali procesy a postupy ochrany osobných údajov v súlade s doterajšou smernicou 95/45/ES. Teraz bude potrebné zosúladiť ochranu osobných údajov s nariadením GDPR.
S novými povinnosťami týkajúcimi sa napríklad súhlasu dotknutých osôb, anonymizácie údajov, oznámení o porušení ochrany osobných údajov, cezhraničných prenosoch osobných údajov, vymenúvania zodpovedných osôb a ďalších, GDPR vyžaduje od subjektov, ktoré spracúvajú osobné údaje občanov EÚ, aby vykonali zásadnú operačnú reformu.
V tomto a ďalších súvisiacich článkoch si povieme práve niečo viac o najdôležitejších dopadoch GDPR na zmenu procesov, prostriedkov a postupov ochrany osobných údajov.
Kódexy správania a certifikačné mechanizmy v súvislosti s cezhraničným prenosom osobných údajov
GDPR prináša dve nové vhodné ochranné opatrenia - kódexy správania a certifikačné mechanizmy - ktoré sa všeobecne uplatňujú na prevádzkovateľov a sprostredkovateľov.
Kódexy správania sa podobajú samoregulačným programom, aby demonštrovali regulačným orgánom a spotrebiteľom, že spoločnosť dodržiava určité normy ochrany súkromia.
Podľa GDPR môžu takéto kódexy pripravovať združenia alebo iné orgány zastupujúce prevádzkovateľov alebo sprostredkovateľov a môžu byť vypracované tak, aby riešili mnohé aspekty GDPR vrátane medzinárodných prenosov údajov.
Dodržiavanie týchto kódexov správania prevádzkovateľmi alebo sprostredkovateľmi, na ktorých sa inak nevzťahuje nariadenie, ale ktoré sa podieľajú na prenose osobných údajov mimo EÚ, pomôže regulovanému prevádzkovateľovi preukázať primerané záruky.
Predbežné návrhy kódexov správania sa musia predložiť príslušnému orgánu dohľadu na schválenie. Akreditovaný a príslušný orgán má po schválení právo monitorovať dodržiavanie kódexu správania.
V blízkej budúcnosti sa na úrovni EÚ pravdepodobne vyvinú certifikáty, pečate a ochranné známky na ochranu údajov, ktoré budú preukazovať, že prevádzkovateľ alebo sprostredkovateľ dodržiava normy stanovené GDPR.
Podobne ako kódexy správania, certifikácia je k dispozícii prevádzkovateľom a sprostredkovateľom mimo EÚ za predpokladu, že preukážu zmluvnými alebo inými právne záväznými nástrojmi svoju ochotu dodržiavať zaručené záruky na ochranu osobných údajov.
Certifikácia, pečate a značky vyžadujú ďalšie kroky zo strany Európskej rady na ochranu údajov, ktorá by mala vytvoriť spoločnú európsku pečať na ochranu údajov, a ktorá bude tiež zodpovedná za zverejňovanie certifikovaných subjektov v spoločnej verejne prístupnej databáze.
Ustanovenia špecifické pre záväzné firemné pravidlá (BCR = Binding Corporate Rules)
GDPR - na rozdiel od doteraz platnej smernice o ochrane osobných údajov - výslovne uvádza záväzné firemné pravidlá ako primeranú záruku a vymenúva podrobné podmienky pre cezhraničné prenosy osobných údajov prostredníctvom BCR.
Záväzné firemné pravidlá vyžadujú súhlas orgánu dohľadu a ten určuje, čo musí byť minimálne zahrnuté do záväzných firemných pravidiel, ako sú štruktúra a kontaktné údaje príslušnej skupiny, informácie o postupoch cezhraničného prenosu osobných údajov, ako pravidlá spĺňajú všeobecné zásady GDPR, postupy podávania sťažností a mechanizmy dodržiavania súladu.
Záväzné firemné pravidlá sú v praxi výhodným mechanizmom kvôli ich flexibilite a nižšej administratívnej záťaži po ich implementácii. GDPR dokonca umožňuje podnikovej skupine alebo skupine podnikov zapojených do spoločnej hospodárskej činnosti používať rovnakú štruktúru záväzných firemných pravidiel na cezhraničné prenosy osobných údajov.
Výnimky pre špecifické situácie
GDPR stanovuje výnimky zo zákazu prenosu osobných údajov mimo EÚ bez primeranej ochrany. Výnimky sú vo všeobecnosti podobné s tými uvedenými v súčasne platnej smernici, ale je tu aj nová výnimka pre akceptovateľné prenosy kvôli "presvedčivým oprávneným záujmom" prevádzkovateľa. Výnimky platia, ak:
- Dotknutá osoba výslovne súhlasila s navrhovaným prenosom osobných údajov po tom, čo bola informovaná o možných rizikách takýchto prenosov pre dotknutú osobu z dôvodu absencie rozhodnutia o primeranosti a adekvátnych bezpečnostných opatrení.
- Prenos osobných údajov je potrebný na vykonanie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo vykonávanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby.
- Prenos osobných údajov je potrebný na uzavretie alebo plnenie zmluvy uzavretej v záujme dotknutej osoby medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou.
- Prenos osobných údajov je potrebný z dôležitých dôvodov verejného záujmu.
- Prenos osobných údajov je potrebný na zriadenie, výkon alebo obranu právnych nárokov.
- Prenos osobných údajov je potrebný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je dotknutá osoba fyzicky alebo právne neschopná dať súhlas.
- Prenos osobných údajov sa uskutočňuje z registra, ktorý je podľa právnych predpisov EÚ alebo členských štátov určený na poskytovanie informácií verejnosti a je otvorený konzultácii buď verejnosťou vo všeobecnosti alebo akoukoľvek osobou, ktorá môže preukázať legitímny záujem, ale iba pokiaľ sú v konkrétnom prípade splnené podmienky ustanovené v právnych predpisoch Únie alebo v členských štátoch na konzultácie.
Posledná výnimka umožňuje maximálnu flexibilitu, ale rovnako ako režim GDPR vo všeobecnosti vyžaduje dôkladnú a dôslednú internú dokumentáciu.
Ustanovuje, že ak sa cezhraničný prenos osobných údajov nemôže zakladať na štandardných zmluvných doložkách, záväzných firemných pravidlách, ani na žiadnej inej výnimke, prenos do tretej krajiny alebo medzinárodnej organizácie sa môže uskutočniť len vtedy, ak:
- je prenos opakovaný,
- týka sa len obmedzeného počtu dotknutých osôb,
- je potrebný na účely presvedčivých oprávnených záujmov sledovaných prevádzkovateľom, ktoré nestoja neprimerane nad záujmami alebo právami a slobodami dotknutej osoby,
- a prevádzkovateľ posúdil všetky okolnosti týkajúce sa prenosu údajov a na základe tohto posúdenia zabezpečil vhodné ochranné opatrenia, pokiaľ ide o ochranu osobných údajov.
Takto formulované ustanovenia sú otvorené širokej interpretácii zo strany prevádzkovateľa údajov a regulačných orgánov, čo naznačuje, že úradníci pre ochranu údajov a orgány dohľadu by mali spolupracovať na príprave príkladov, ktoré budú riadiť prevádzkovateľov pri ich dokumentácii a rozhodovaní.
Peňažné pokuty
Asi jedným z najdôležitejších dôsledkov GDPR je to, že na rozdiel od súčasnej smernice na ochranu osobných údajov, nedodržanie ustanovení týkajúcich sa cezhraničného prenosu osobných údajov, môže viesť k udeleniu vysokých pokút.
Porušenia ustanovení o cezhraničnom prenose osobných údajov podliehajú prísnejším ustanoveniam o dvoch správnych pokutách v GDPR.
Takéto porušenia môžu mať za následok administratívne pokuty až do výšky 20 000 000 EUR, alebo až 4% celkového celosvetového ročného obratu za predchádzajúci finančný rok, podľa toho, ktorá hodnota je vyššia.
Faktory, ktoré môžu zakladať právo uloženia pokuty, zahŕňajú:
- povaha, závažnosť a trvanie porušenia,
- úmyselný charakter porušenia,
- opatrenia prijaté na zmiernenie utrpenej škody,
- stupeň zodpovednosti alebo akékoľvek príslušné predchádzajúce porušenia,
- spôsob, akým sa dozorný orgán dozvedel o porušení,
- dodržiavanie opatrenia uloženého voči prevádzkovateľovi alebo sprostredkovateľovi,
- dodržiavanie kódexu správania,
- a akéhokoľvek ďalšieho priťažujúceho alebo poľahčujúceho faktora.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.