V predchádzajúcom článku sme si zhnruli v kocke GDPR a jeho špecifiká v prehľadnej forme najčastejších otázok a odpovedí na ne. A to tak pre prevádzkovateľov, ako aj pre sprostredkovateľov. Išlo hlavne o získanie súhlasu, ale aj iné právne základy, ktoré umožňujú firmám, verejnému či tretiemu sektoru spracúvať údaje dotknutých osôb. Dnes si to skompletizujeme tak, aby obidva články (časť 1 + časť 2) dávali ucelený obraz o tom, čo GDPR je a prečo je žiaduce dodržiavať jeho pravidlá.
Čo je "právo byť zabudnutý"?
Nariadenie GDPR jasne uvádza, že ľudia môžu svoje údaje kedykoľvek vymazať, ak už nie sú relevantné - t. j. spoločnosť, ktorá ich uchováva, ich už nepotrebuje na účely, na ktoré ich zhromaždila. Ak boli údaje zhromaždené na základe modelu súhlasu, občan môže tento súhlas kedykoľvek odvolať. Môže tak urobiť aj vtedy, keď má námietky voči tomu, ako organizácia spracúva jeho osobné údaje, alebo jednoducho nechce, aby ich zbierala a spracúvala. Prevádzkovateľ je zodpovedný za to, aby ostatným organizáciám (napríklad spoločnosti Google) nariadil, aby odstránili všetky odkazy na kópie týchto údajov, ako aj samotné kópie.
Čo ak chcú dotknuté osoby presunúť/preniesť svoje údaje inam?
V takomto prípade im to ako prevádzkovateľ musíte umožniť - a to v čo najkratšom možnom čase: nová legislatíva týkajúca sa ochrany osobných údajov dáva maximálnu lehotu na vyhovenie žiadosti dotknutej osoby na prenos údajov k inému subjektu do maximálne 4 týždňov. Prevádzkovatelia musia zabezpečiť, aby údaje o dotknutých osobách boli v otvorenom, štruktúrovanom, bežne používanom formáte, ako je CSV, čo znamená, že keď sa presunú k inému prevádzkovateľovi, sú bez problémov riadne strojovo čitateľné.
Aké sú pokuty za porušenie GDPR?
V rámci GDPR existujú dve úrovne pokút, ale obe sú oveľa vyššie, než aké boli pred vstúpením tohto európskeho nariadenia do platnosti 25. mája 2018.
GDPR teda výrazne zvýšilo strop pokút. Po prvé, vaša firma alebo organizácia čelí pokute vo výške až 2% svojho ročného obratu alebo 10 miliónov EUR za to, že do 72 hodín po zistení, že došlo k porušeniu ochrany osobných údajov, túto skutočnosť nenahlási orgánu dozoru, ktorým je Úrad na ochranu údajov SR.
Tento prvotný kontakt by mal načrtnúť charakter osobných údajov, ktorých ochrana bola narušená, približne akého počtu dotknutých osôb sa to týka, aké následky to pre ne môže predstavovať a aké opatrenia ste už podnikli alebo plánujete vykonať na nápravu.
Potom je tu pokuta za samotný únik alebo zneužitie osobných údajov. Takýto závažný bezpečnostný incident môže byť podľa GDPR potrestaný maximálnou pokutou vo výške 4% ročného obratu vašej spoločnosti alebo 20 miliónov €, podľa toho, ktorá hodnota je vyššia.
Samozrejme, problematika oboch úrovní pokút je oveľa rozsiahlejšia, tu si to len vysvetľujeme na príkladoch v kocke. Ak chcete vedieť o pokutách viac (prípadne všetko), odporúčam vám prečítať si § 104 - § 106 Zákona 18/2018 (=nový slovenský zákon o ochrane osobných údajov).
Na upokojenie však treba dodať, že nariadenie GDPR jasne uvádza, že pokuty musia byť "proporcionálne", preto je nepravdepodobné, že by ste čelili najvážnejšej sankcii, ak ide len o nepatrné porušenie, alebo ak dokážete, že ste vo veľkej miere v súlade s GDPR, a to tak po dokumentačnej stránke, ako aj prijatím dostačujúcich technických bezpečnostných opatrení na zabránenie úniku alebo zneužitia osobných údajov dotknutých osôb, ktoré spracúvate.
Môžem si poistiť riziká súvisiace s GDPR?
Áno, môžete. Na slovenský trh priniesla prvý produkt špeciálneho GDPR poistenia spoločnosť Colonnade Insurance. Poistenie zodpovednosti za škodu súvisiacu s ochranou osobných údajov je určené tak pre fyzické osoby - živnostníkov, malé, ale aj veľké spoločnosti. Poistiť sa pritom môžu tak prevádzkovatelia, ako aj sprostredkovatelia (na ktorých po novom leží vysoké bremeno zodpovednosti za ochranu osobných údajov).
Podobne, ako my, aj aktuári z poisťovne Colonnade odporúčajú podnikateľom, aby zabezpečili nielen "dokumentačný" súlad s nariadením GDPR, ale kládli dôraz aj na technické zabezpečenie informačných systémov. Vaše databázy môžu byť veľkým (a hodnotným) lákadlom pre hackerov. No a, ako sme už spomenuli vyššie, v prípade straty dát, alebo hackerského útoku hrozia vysoké pokuty - GDPR nie je bezzubý právny predpis! Na náhradu škody má v rámci potenciálneho poistného plnenia okrem vás ako prevádzkovateľa či sprostredkovateľa nárok aj každá osoba, ktorá v dôsledku úniku dát utrpí majetkovú alebo nemajetkovú ujmu.
Potrebujeme zodpovednú osobu (DPO = Data Protection Officer)?
Každý verejný orgán vykonávajúci spracúvanie údajov musí zamestnať takéhoto "úradníka na ochranu osobných údajov", rovnako ako aj podniky, ktorých hlavné činnosti zahŕňajú spracovanie údajov, ktoré si vyžadujú pravidelné sledovanie jednotlivcov vo veľkom rozsahu podľa právnych predpisov zakotvených v nariadení GDPR. Verejné orgány majú v tomto smere trochu výhodu, keďže viaceré môžu takpovediac "zdieľať" jednu zodpovednú osobu. Organizácie by mali poskytnúť kontaktné údaje na zodpovednú osobu Úradu na ochranu osobných údajov SR.
Úlohou zodpovednej osoby je informovať a poskytnúť poradenstvo organizácii o dodržiavaní požiadaviek GDPR a monitorovať dodržiavanie predpisov. Bude tiež slúžiť ako hlavný kontaktný orgán Úradu na ochranu osobných údajov (ÚOOÚ) a očakáva sa, že bude s týmto úradom plne súčinný v prípade kontroly zo strany ÚOOÚ.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
Tip: prečítajte si aj prvú časť tohto článku