Všeobecné nariadenie o ochrane osobných údajov (GDPR = General Data Protection Regulation) má nahradiť Smernicu EP a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
Nové nariadenie GDPR nadobudne účinnosť 25. mája 2018. Nariadenie GDPR je priamo uplatniteľné v každom členskom štáte a povedie k väčšej harmonizácii ochrany osobných údajov členských štátov EÚ.
Malé firmy i veľké spoločnosti už prijali procesy a postupy ochrany osobných údajov v súlade s doterajšou smernicou 95/45/ES. Teraz bude potrebné zosúladiť ochranu osobných údajov s nariadením GDPR.
S novými povinnosťami týkajúcimi sa napríklad súhlasu dotknutých osôb, anonymizácie údajov, oznámení o porušení ochrany osobných údajov, cezhraničných prenosoch osobných údajov, vymenúvania zodpovedných osôb a ďalších, GDPR vyžaduje od subjektov, ktoré spracúvajú osobné údaje občanov EÚ, aby vykonali zásadnú operačnú reformu.
V tomto a ďalších súvisiacich článkoch si povieme práve niečo viac o najdôležitejších dopadoch GDPR na zmenu procesov, prostriedkov a postupov ochrany osobných údajov.
GDPR a cezhraničné prenosy osobných údajov - časť I.
GDPR umožňuje prenosy osobných údajov do tretej krajiny alebo medzinárodnej organizácie za predpokladu splnenia stanovených podmienok, vrátane podmienok ďalšieho prenosu. Podobne ako rámec stanovený v doteraz platnej Smernici o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (ďalej len "Smernica"), GDPR umožňuje prenos údajov do tretích krajín, ktorých právny režim považuje Európska komisia za zabezpečujúci adekvátnu úroveň ochrany osobných údajov.
Ak však nie je prijaté rozhodnutie o primeranosti úrovne ochrany osobných údajov, prenosy do tretích krajín sa síce môžu povoliť, ale len za špecifických okolností, napríklad použitím štandardných zmluvných doložiek alebo záväzných firemných pravidiel (BCR = Binding Corporate Rules). Výnimky sú povolené aj za úzko limitovaných ďalších okolností.
Dôležité sú však rozdiely medzi GDPR a súčasne platnou Smernicou. GDPR výslovne uznáva platné súčasné požiadavky na záväzné firemé pravidlá pre prevádzkovateľov a sprostredkovateľov, čo bude užitočné pri prenose údajov, ktorý zahŕňa tie členské štáty, ktoré doteraz neuznávajú BCR.
Štandardné zmluvné doložky, ktoré pred vstúpením do platnosti nariadenia GDPR vyžadovali predchádzajúce oznámenie orgánom na ochranu osobných údajov a schválenie orgánmi na ochranu osobných údajov, sa budú môcť používať bez takéhoto predchádzajúceho súhlasu.
Okrem toho, novozavedená schéma umožňuje prenosy založené na osvedčeniach (certifikátoch), za predpokladu, že prevádzkovateľ alebo sprostredkovateľ prijali záväzné a vymáhateľné záväzky na uplatnenie príslušných záruk.
Okrem toho, že GDPR uľahčuje medzinárodné prenosy osobných údajov prostredníctvom nových mechanizmov, ale jasne uvádza, že nie je zákonné preniesť osobné údaje z EÚ ako odpoveď na požiadavku tretej krajiny, ktorá je zákonná iba v nej. Rovnako ukladá peňažné pokuty za prenosy osobných údajov v rozpore s nariadením.
Cezhraničné prenosy osobných údajov s rozhodnutím o primeranosti
GDPR upravuje cezhraničné prenosy osobných údajov, pričom stanovuje aj podmienky pre takéto prevody.
GDPR rieši cezhraničné prenosy osobných údajov tak, že:
- Stanovuje podmienky pre cezhraničné prenosy s rozhodnutím o primeranosti úrovne ochrany osobných údajov.
- Stanovuje podmienky pre cezhraničné prenosy osobných údajov prostredníctvom vhodných záruk, ak neexistuje rozhodnutie o primeranosti.
- Stanovuje podmienky pre cezhraničné prenosy osobných údajov prostredníctvom záväzných firemných pravidiel.
- Zaoberá sa situáciami, v ktorých zahraničný súd alebo správny orgán nariadil prenos osobných údajov, ktorý inak GDPR nepovoľuje .
- Stanovuje podmienky výnimiek pre osobitné situácie v prípade neexistencie rozhodnutia o primeranosti alebo primeraných záruk.
Tieto eventuality, ktoré rieši GDPR, odzrkadľujú rôznorodosť situácií a rozhodnutí z nich vyplývajúcich pre prevádzkovateľa alebo sprostredkovateľa pre prenosy osobných údajov v súlade s GDPR. Ak sa pozriete bližšie na vyššie vymenovaný zoznam, ide o podmienky v zostupnom poradí. V praktickej reči sa dá povedať, že iba ak sa údaje prenášajú do krajiny, ktorá nemá primeranú úroveň ochrany osobných údajov, prevádzkovateľ alebo sprostredkovateľ sa musia riadiť ďalšími podmienkami a postupmi
Podľa Smernice bol možný prenos osobných údajov mimo členských štátov iba do schválených tretích krajín. GDPR umožňuje prevody nielen do tretích krajín, ale aj na územie alebo na špecifikovaný sektor v tretej krajine alebo do medzinárodnej organizácie za predpokladu, že im bolo udelené rozhodnutie o primeranosti. Keď Komisia udelí (alebo stiahne) označenie primeranosti, rozhodnutie je záväzné pre všetky členské štáty EÚ.
Rozhodnutie Komisie o primeranosti znamená, že tretia krajina alebo špecifikovaný subjekt zabezpečuje ekvivalentnú a adekvátnu úroveň ochrany, ktoré sa zabezpečujú v rámci Európskej únie. Komisia zvažuje nespočetné množstvo faktorov pri určovaní primeranosti vrátane osobitných sporstredkovateľských činností, prístupu k spravodlivosti, medzinárodných noriem o ľudských právach, všeobecného a sektorového práva krajiny, právnych predpisov týkajúcich sa verejnej bezpečnosti, národnej bezpečnosti, verejného poriadku a trestného práva.
Prenosy údajov subjektu s primeraným zabezpečením ochrany osobných údajov sa môžu uskutočniť bez ďalšieho schválenia Komisiou alebo členskými štátmi. Rozhodnutia o primeranosti sú takisto predmetom pravidelného preskúmania s cieľom určiť, či daný subjekt stále zabezpečuje primeranú úroveň ochrany osobných údajov. V pravidelnom preskúmaní Komisia konzultuje so subjektom a vyhodnocuje pritom zhodu s postupmi z viacerých relevantných zdrojov, ako sú zistenia Európskeho parlamentu alebo Rady.
Cezhraničný prenos údajov prostredníctvom vhodných záruk
Podobne ako Smernica poskytuje GDPR mechanizmy pre cezhraničné prenosy údajov, ak neexistuje rozhodnutie o primeranosti, ak prevádzkovateľ alebo sprostredkovateľ používa určité bezpečnostné opatrenia.
Primerané bezpečnostné opatrenia zahŕňajú:
- Právne záväzný a vynútiteľný nástroj uložený verejnými orgánmi.
- Záväzné firemné pravidlá.
- Štandardné zmluvné doložky o ochrane osobných údajov prijaté Komisiou v súlade s postupom preskúmania podľa GDPR.
- Štandardné zmluvné doložky o ochrane osobných údajov prijaté orgánom dohľadu a schválené Komisiou v súlade s postupom preskúmania podľa GDPR.
- Schválený kódex správania spolu so záväznými a vynútiteľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine, aby uplatnil príslušné záruky, a to aj pokiaľ ide o práva dotknutých osôb.
- Schválený certifikačný mechanizmus spolu so záväznými a vynútiteľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine, aby uplatnil príslušné záruky vrátane práv dotknutých osôb.
Štandardné zmluvné ustanovenia o ochrane osobných údajov
Zmeny v požiadavkách na štandardné zmluvné doložky o ochrane osobných údajov znižujú administratívne zaťaženie. Podľa GDPR tieto ustanovenia nevyžadujú predchádzajúce povolenie orgánov dohľadu a takéto ustanovenia môžu byť prijaté Európskou komisiou, ako aj vnútroštátnymi orgánmi dohľadu. Existujúce štandardné zmluvné klauzuly môžu zostať platné, ale GDPR ponecháva otvorenú možnosť ich zrušenia.
Zmluvné ustanovenia ad hoc sa môžu použiť aj na dodržiavanie pravidiel GDPR, hoci musia získať predchádzajúci súhlas orgánu dohľadu, a preto sú potenciálne menej príťažlivou možnosťou pre prevádzkovateľov.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
V druhej časti článku o cezhraničnom prenose údajov si povieme o:
- Kódexoch správania a certifikačných mechanizmoch.
- Ustanoveniach špecifických pre záväzné firemné pravidlá.
- Výnimkách pre špecifické situácie.
- Peňažných pokutách za nedodržanie ustanovení o cezhraničnom prenose osobných údajov podľa GDPR.
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.