GDPR sa bude uplatňovať vo všetkých členských štátoch EÚ od 25. mája 2018. Keďže GDPR je nariadenie, nie smernica, jednotlivé krajiny ho nemusia transponovať do svojej legislatívy (ale môžu) - namiesto toho sa bude uplatňovať automaticky. Zatiaľ bolo nariadenie GDPR schválené 24. mája 2016, po tom, čo všetky krajiny EÚ súhlasili s konečným textom, podniky a organizácie mali a zatiaľ ešte majú čas do 25. mája 2018 zosúladiť s novým nariadením svoje vnútropodnikové procesy týkajúce sa spracúvania osobných údajov. Po tomto termíne totiž GDPR oficiálne vstupuje do platnosti.
Viaceré celoeurópske prieskumy ukazujú, že zatiaľ čo drvivá väčšina odborníkov v oblasti IT bezpečnosti vie o GDPR, menej ako polovica z nich sa pripravuje na jeho príchod a vstup do platnosti.
Len 43% európskych firiem posúdilo, alebo si dalo posúdiť vplyv nariadenia GDPR na svoju spoločnosť a zmenilo svoju prax, aby dodržalo legislatívu ochrany údajov. Na Slovensku sa zatiaľ dostatočne korektné prieskumy na väčšej vzorke respondentov neuskutočnili, takže o tom, aká je situácia, môžeme len hádať.
Predpokladá sa však, že veľké firmy termín stihnú, stredne veľkých podnikov je pripravená viac ako polovica a najviac prípravu zanedbali malé firmy. Tie to však doháňajú v týchto dňoch doslova na poslednú chvíľu.
Mnohé špecializované firmy zaoberajúce sa prípravou na vnútropodnikovú implementáciu GDPR v súčasnosti neprijímajú ďalšie zákazky, nakoľko ich reálne kapacity sú plne vyťažené.
V európskych prieskumoch sa až 28 percent firiem priznalo, že vôbec nevedia, ako sa na GDPR pripraviť a chýbala im aj elementárna znalosť tejto problematiky.
Poďme si teda spoločne prejsť základné otázky a odpovede týkajúce sa GDPR, ktoré by mohli oneskorencov zaujímať.
Kto podlieha GDPR?
GDPR musia dodržiavať prevádzkovatelia a sprostredkovatelia osobných údajov. Prevádzkovateľ určuje, ako a prečo sa spracúvajú osobné údaje, zatiaľ čo sprostedkovateľom je strana, ktorá uskutočňuje reálne spracovanie údajov. Takže prevádzkovateľom môže byť akákoľvek organizácia, od obchodnej spoločnosti až po neziskovú organizáciu alebo vládu. Sprostredkovateľom môže byť napríklad IT spoločnosť, ktorá robí skutočné spracovanie osobných údajov.
Aj keď prevádzkovatelia a sprostredkovatelia sídlia mimo EÚ, GDPR sa na nich vzťahuje, ak nakladajú s osobnými údajmi obyvateľov EÚ.
Je zodpovednosťou prevádzkovateľa zabezpečiť, aby jeho sprostredkovateľ dodržiaval zákon o ochrane údajov a sprostredkovatelia sa musia riadiť pravidlami na uchovávanie záznamov o ich spracovateľských činnostiach. Ak sa sprostredkovatelia podieľajú na porušení ochrany údajov, nesú vďaka GDPR oveľa vyššiu mieru zodpovednosti, ako to bolo podľa starej európskej smernice.
Kedy môžem spracúvať osobné údaje podľa GDPR?
Po nadobudnutí účinnosti nariadenia GDPR musia prevádzkovatelia zabezpečiť, aby sa osobné údaje spracúvali zákonne, transparentne a na konkrétny účel. Akonáhle je tento účel splnený a údaje už nie je potrebné spracúvať ani uchovávať, mali by sa vymazať.
Čo máte na mysli pod zákonným spracúvaním osobných údajov?
Slovko "zákonný" má celý rad alternatívnych významov, nie všetky sa však v tomto kontexte uplatňujú. Po prvé, zakonné je, ak dotknutá osoba súhlasila so spracovaním svojich osobných údajov. Podobne, zákonné je spracúvanie osobných údajov za účelom dodržania zmluvy alebo právnej povinnosti; ochrany života dotknutej osoby; ak je spracovanie údajov vo verejnom záujme; alebo ak sa tak stane v legitímnom záujme prevádzkovateľa - napríklad v rámci predchádzania podvodom. Na spracovanie osobných údajov sa musí použiť aspoň jedno z týchto odôvodnení.
Ako získam súhlas podľa GDPR?
Súhlas musí byť aktívnym krokom dotknutej osoby, a nie pasívnym prijatím podľa niektorých bežných modelov, ktoré umožňujú predbežne označené políčka alebo opt-out riešenia. Prevádzkovatelia musia viesť záznamy o tom, ako a kedy jednotlivec dal súhlas, a ten môže svoj súhlas kedykoľvek odvolať. Ak váš súčasný model na získanie súhlasu nespĺňa tieto nové pravidlá, budete tento nesúlad musieť najneskôr od 25. mája 2018 vyriešiť alebo v opačnom prípade zastaviť zhromažďovanie osobných údajov podľa takéhoto modelu.
Čo sa považuje za osobné údaje podľa GDPR?
EÚ podstatne rozšírila definíciu osobných údajov v rámci GDPR. Ak chceme reflektovať moderné technológie a údaje, ktoré sa v súčasnosti bežne zhromažďujú o ľuďoch, online identifikátory, ako napríklad adresy IP, sa teraz kvalifikujú ako osobné údaje.
Ostatné údaje, ako sú informácie o hospodárskom, sociálnom, náboženskom, kultúrnom statuse alebo duševnom zdraví, sa tiež považujú za osobné údaje.
Pseudonymizované osobné údaje môžu byť tiež predmetom pravidiel GDPR, v závislosti od toho, aké ľahké alebo, naopak, ťažké je určiť, koho sú to údaje. Všetko, čo sa považuje za osobné údaje podľa starej európskej smernice, sa tiež kvalifikuje ako osobné údaje podľa GDPR.
Kedy môžu ľudia pristupovať k údajom, ktoré o nich ukladáme?
S cieľom poskytnúť ľuďom väčšiu kontrolu nad svojimi osobnými údajmi, GDPR zabezpečuje, že ľudia môžu požiadať o prístup k ich osobným údajom v "primeraných intervaloch", pričom prevádzkovatelia majú mesiac na to, aby vyhoveli týmto požiadavkám. Prevádzkovatelia aj sprostredkovatelia musia objasniť, ako zhromažďujú informácie o ľuďoch, na aké účely ich používajú a spôsoby spracúvania osobných údajov. V GDPR sa tiež uvádza, že firmy musia používať jednoduchý jazyk, aby tieto veci jasne a jednoznačne adresovali ľuďom. Prišiel čas sa rozlúčiť s mätúcimi a nezrozumiteľnými textami v dokumentoch so zásadami ochrany osobných údajov.
Ľudia majú právo na prístup k akýmkoľvek informáciám, ktoré spoločnosť o nich uchováva, a právo vedieť, prečo sú tieto údaje spracúvané, ako dlho sú uložené a kto má k nim prístup. Ak je to možné, prevádzkovatelia osobných údajov by mali zabezpečiť bezpečný a priamy prístup ľuďom na kontrolu toho, aké informácie o nich uchováva prevádzkovateľ.
Môžu tiež požiadať, aby sa tieto údaje, ak boli nesprávne alebo neúplné, opravili kedykoľvek si to budú priať.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
---Pokračovanie nájdete v tomto článku---