Čo prinesie nový zákon o ochrane osobných údajov

1. Úvod
2. Blog
3. Zákony
4. Čo prinesie nový zákon o ochrane osobných údajov

Nový zákon o ochrane osobných údajov

Od 25.5 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov, ktorý bude zohľadňovať požiadavky nariadenia Európskeho parlamentu  a Rady EÚ, inak nazvaný aj GDPR (General Data Protection Regulation). Prináša veľké zmeny a podnikateľov čakajú nové povinnosti, za ktoré v prípade neplnenia hrozia likvidačné pokuty.

Koho sa nový zákon bude týkať:

• Všetci podnikatelia, ktorí spracovávajú osobné údaje ( osobné údaje zamestnancov alebo zákazníkov)
• Sprostredkovatelia, ktorí spracovávajú osobné údaje iných organizácií ( účtovníci, právnici, informatici, reklamné agentúry, …)

Čo spadá do pojmu osobný údaj:

Osobný údaj je informácia, ktorá priamo alebo nepriamo identifikuje konkrétnu fyzickú osobu (napr. Meno a priezvisko, rodné číslo, číslo občianskeho preukazu alebo pasu). Čo sa týka emailu alebo telefónneho čísla je to zložitejšie. Záleží, či sa dá priamo spojiť s konkrétnou osobou (všeobecné telefónne čísla do organizácií alebo všeobecné emaily do kategórie osobných údajov nespadajú). Ďalšie typy osobných údajov:

• fotografia,
• otlačok prsta, prípadne iné biometrické údaje
• hlas,
• číslo účtu,
• lokalizačné údaje.

10 hlavných zmien v novom zákone o ochrane osobných údajov:

Oznamovacia povinnosť porušenia ochrany osobných údajov:

Porušenie osobných údajov podľa GDPR znamená porušenie bezpečnosti, ktorá vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neopravnému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracovávajú, alebo neoprávnený prístup k nim.  Tento incident je potrebné nahlásiť do 72 hodín od zistenia úradu na ochranu osobných údajov SR.

Je možnosť vyhnúť sa informovaniu dotknutých jednotlivcov zavedením primeraných bezpečnostných opatrení.

Zodpovedná osoba

V prípade, ak organizácia nemá určenú zodpovednú osobu, má povinnosť informovať Úrad na ochranu osobných údajov SR o systémoch obsahujúce osobné údaje (napr. newsletter).

Organizácie si môžu zabezpečiť zodpovednú osobu aj prostredníctvom právnickej osoby. Tým sa organizácia vyhne čiastočnej byrokracií.

Zodpovednú osobu musia mať nasledovné inštitúcie:

• Orgány verejnej moci alebo verejnoprávne subjekty za predpokladu, že vykonávajú spracúvanie osobných údajov.
• Firmy, ktorých hlavnou činnosťou sú spracovateľské operácie, vyžadujúce pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
• Firmy, spracovávajúce osobitné kategórie údajov ako biometrické údaje, údaje o pôvode, náboženstve, orientácií a pod., vo veľkom rozsahu alebo spracúva osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

Zvýšenie pokút

Maximálna výška pokuty bude 20 miliónov eur, prípadne 4% celosvetového firemného obratu z predchádzajúceho roku, podľa toho, ktorá pokuta je vyššia. Okrem finančnej pokuty môže byť nariadené aj výmaz osobných údajov, zákaz spracovávania, oznámenie porušenia ochrany osobných údajov dotknutej osobe alebo pozastavenie toku údajov príjemcovi v tretej krajine.

 
Prísnejšie požiadavky na udelenie súhlasu pri spracovaní osobných údajov.

Súhlas musí byť poskytnutý jasným prejavom vôle, s jednoznačným vyjadrením súhlasu dotknutej osoby so spracovaním osobných údajov. Tento súhlas je nutné vedieť preukázať v prípade potreby.

 
Užívateľ má právo na vymazanie (právo byť zabudnutý)

V prípade, ak užívateľ požiada o vymazanie svojich údajov, musí poskytovateľ posúdiť, či je jeho požiadavka vhodná ( napr. ak boli získane nezákonne, údaje sa nepoužívajú na správny účel, nebol poskytnutý rodičovský súhlas). Ak je požiadavka vhodná má poskytovateľ mesiac na vymazanie údajov ( v zložitých prípadoch 3 mesiace). Okrem toho musí poskytovateľ informovať aj iných spracovávateľov, ktorí tieto údaje spracovávajú. V prípade ale ak by sa jednalo o veľmi finančne a technicky náročný proces nemusí sa tejto požiadavke vyhovieť.

 
Súkromie ako štandard

Ochrana súkromia musí byť komplexne zvažovaná už pri návrhu nových projektov. Prevádzkovateľ musí určiť primerané technické a organizačné opatrenia pre každú formu spracovania. Všetky nové projekty z hľadiska IT by mali byť šifrované, mali by sa vytvárať pravidelné zálohy a hlavne by sa malo dopredu určiť, ktoré informácie sú nevyhnutné a ktoré nie.

 
Prenosnosť údajov

Užívateľ bude môcť požiadať o prenos údajov od svojho pôvodného prevádzkovateľa k novému. Pôvodný prevádzkovateľ bude musieť jeho žiadosti vyhovieť a preniesť údaje v čo najkratšiu dobu (maximálne 1 mesiac) a bezplatne (jedná sa napríklad o presun emailov od jedného prevádzkovateľa k druhému). Žiadosť ale musí byť primeraná a opodstatnená. Transfer musí byť samozrejme zabezpečený, inak hrozí únik dát, incident a pokuta.

 
Nové požiadavky pre zmluvu so sprostredkovateľom

Pre sprostredkovateľov ( napr. účtovníci, právnici) pribudne nová povinnosť prepracovať zmluvy, tak aby zahŕňali:

• že sú implementované primerané bezpečnostné opatrenia na ochranu osobných údajov
• že v prípade subdodávok ostáva sprostredkovateľ zodpovedný za ochranu údajov
• záväzok, že v prípade ukončenia spolupráce všetky osobné údaje vymaže alebo vráti používateľovi
• záväzok, že poskytne prevádzkovateľovi všetky informácie o plnení povinností GDPR a umožní vykonanie prípadného auditu.

Je odporúčané aby sprostredkovatelia nasadili šifrovanie, antivírusovú ochranu a aby používali zabezpečenú komunikáciu.

 
Pravidlo „one-stop-shop“

Pravidlo, ktoré sa týka poskytovateľov, ktorí fungujú vo viacerých štátoch. GDPR určuje, kto rieši dozor nad danou spoločnosťou – vedúce dozorné orgány a vedúce orgány. Vedúci dozorný orgán na Slovensku je Úrad na ochranu osobných údajov SR.

 
Medzinárodné prenosy dát

GDPR zásadne nemení byrokraciu, ktorá je spojená s prenosom osobných údajov mimo územia Európskej únie. Podľa cieľovej krajiny kam osobné údaje putujú bude potrebné podpisovať rôzne mnohostranové zmluvy a dohody.

Nasledujúci článok: 

„ Aké sú možnosti spoločností splniť požiadavky GDPR?“

ZDROJE:

www.eset.sk

Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679