VŠEOBECNÉ NARIADENIE O OCHRANE OSOBNÝCH ÚDAJOV „GDPR“
Od 25.05.2018 sa začne uplatňovať nové nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“). Cieľom GDPR je zjednotiť pravidlá ochrany osobných údajov v rámci EÚ. V tejto súvislosti platí, že GDPR je priamo vykonateľné na území všetkých členských štátov EÚ, ktoré majú povinnosť s ním zosúladiť svoje právne úpravy ochrany osobných údajov.
Na území Slovenskej republiky je v súčasnosti v legislatívnom procese nový návrh zákona o ochrane osobných údajov, ktorý nahradí doteraz platný a účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ochrane osobných údajov“) a zosúladí tak slovenskú právnu úpravu ochrany osobných údajov s GDPR. V tomto ohľade návrh nového zákona odzrkadľuje pravidlá prijaté v GDPR a zároveň uplatňovanie niektorých pravidiel spresňuje.
Účinnosťou od 25.05.2018 GDPR zrušuje Smernicu Európskeho parlamentu a Rady 95/46/EHS o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
Územná pôsobnosť GDPR
GDPR zjednocuje pravidlá ochrany osobných údajov nielen pre spracúvanie osobných údajov na území EÚ, ale aj v prípade, ak dochádza k spracúvaniu osobných údajov
- v rámci činnosti prevádzky prevádzkovateľa1 alebo sprostredkovateľa,2 ktoré sa nachádzajú v EÚ, a to bez ohľadu na to, či sa spracúvanie vykonáva v EÚ;
- dotknutých osôb3 , ktoré sa nachádzajú v EÚ, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v EÚ, ak spracovateľská činnosť súvisí: – s ponukou tovaru alebo služieb dotknutým osobám v EÚ; – so sledovaním správania dotknutých osôb na území EÚ;
- prevádzkovateľom, ktorý nie je usadený v EÚ, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.
1prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. 2sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. 3dotknutá osoba je fyzická osoba, ktorej sa osobné údaje týkajú.
Zmeny v spracúvaní osobných údajov podľa GDPR
GDPR prináša viacero zmien v procese spracúvania osobných údajov, ktoré sa budú v rôznej miere dotýkať spracúvateľov osobných údajov, t. j. prevádzkovateľa a sprostredkovateľa. Z týchto zmien nižšie uvádzame nasledovné:
Posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov:
- povinnosť vyhotovovať bezpečnostný projekt podľa Zákon o ochrane osobných údajov bude nahradená povinnosťou vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov podľa GDPR (ďalej len „posúdenie vplyvu“);
- prevádzkovateľ bude povinný vykonať posúdenie vplyvu v prípade, ak typ spracúvania osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, a to najmä s prihliadnutím na využitie nových technológií, povahu, rozsah, kontext a účely spracúvania;
- Úrad na ochranu osobných údajov v súčinnosti s ostatnými členskými štátmi vydá zoznam spracovateľských operácií, ktoré budú podliehať požiadavke na posúdenie vplyvu;
- niektoré prípady, kedy sa bude vyžadovať posúdenie vplyvu ustanovuje aj GDPR, a to napr. systematické monitorovanie verejne prístupných miest vo veľkom rozsahu (typickým príkladom môže byť nákupné centrum, ktoré monitoruje vstup osôb do prevádzky);
- výsledok posúdenia vplyvu by mal prevádzkovateľ alebo sprostredkovateľ zohľadniť pri stanovovaní primeraných opatrení na zabezpečenie ochrany osobných údajov;
- v prípade, ak sa na základe posúdenia vplyvu ukáže, že spracovateľské operácie zahŕňajú vysoké riziko pre práva a slobody fyzických osôb, ktoré prevádzkovateľ nemôže zmierniť prijatím primeraných opatrení, bude prevádzkovateľ povinný uskutočniť pred spracúvaním osobných údajov konzultáciu s Úradom na ochranu osobných údajov. Konzultácia Úradu na ochranu osobných údajov bude poskytovaná vo forme písomného poradenstva, pričom úrad môže v rámci konzultácie uplatniť akúkoľvek právomoc ustanovenú v GDPR, napr. nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania osobných údajov.
Vedenie záznamov o spracovateľských činnostiach
- povinnosť viesť evidenciu informačných systémov podľa Zákona o ochrane osobných údajov bude nahradená povinnosťou viesť záznamy o spracovateľských činnostiach podľa GDPR (od oznamovacej a registračnej povinnosti ustanovenej v Zákone o ochrane osobných údajov sa upustí úplne);
- GDPR upravuje povinné obsahové náležitosti záznamov o spracovateľských činnostiach;
- záznamy budú slúžiť najmä na účely preukázania súladu spracúvania osobných údajov s GDPR, pričom prevádzkovateľ alebo sprostredkovateľ alebo ich zástupca budú povinní na požiadanie Úradu na ochranu osobných údajov tieto záznamy predložiť;
- výnimkou z povinnosti viesť záznamy o spracovateľských činnostiach budú organizácie s menej ako 250 zamestnancami v prípade, ak:
- nebude pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby;
- spracúvanie bude príležitostné alebo nebude zahŕňať osobitné kategórie údajov alebo osobné údaje týkajúce sa uznania viny za trestné činy a priestupky;
Ustanovenie zodpovednej osoby
- niektorým spracúvateľom osobných údajov vznikne v zmysle GDPR povinnosť ustanoviť zodpovednú osobu, a síce v nasledovných troch prípadoch, ak:
- spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt;
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky;
- za podmienok stanovených v GDPR bude môcť skupina podnikov4 ustanoviť 1 spoločnú zodpovednú osobu;
- zodpovedné osoby musia disponovať odbornými kvalitami a spôsobilosťou vykonávať túto funkciu, avšak podľa GDPR nebudú musieť absolvovať skúšku na Úrade na ochranu osobných údajov na výkon svojej funkcie ako tomu bolo doposiaľ;
Kódexy správania
- GDPR zavádza tzv. kódexy správania, ktoré môžu vypracovať združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov (napr. Slovenská advokátska komora, Slovenská asociácia sprostredkovateľov v poisťovníctve a i.), a to na účely spresnenia uplatňovania GDPR. Spresnenie uplatňovania GDPR pre určité odvetvia s osobitnými črtami spracúvania osobných údajov môže byť napr. v súvislosti so získavaním osobných údajov, pseudonymizáciou5 osobných údajov alebo opatreniami na zaistenie bezpečnosti spracúvania údajov atď.
- kódexy správania schválené Úradom na ochranu osobných údajov budú zverejňované na webovom sídle úradu;
Certifikácia
- certifikácia bude dobrovoľná a prevádzkovateľovi alebo sprostredkovateľovi môže slúžiť ako dôkaz splnenia požiadaviek GDPR (preukázanie súladu spracúvania osobných údajov s GDPR, ako aj preukázanie existencie prijatia primeraných záruk ochrany osobných údajov), avšak nebude zárukou ich plnenia, a teda prevádzkovateľa či sprostredkovateľa nezbaví zodpovednosti;
- o vydanie certifikátu bude môcť prevádzkovateľ alebo sprostredkovateľ požiadať Úrad na ochranu osobných údajov alebo certifikačný subjekt;
- držba certifikátu môže mať vplyv napr. na výšku poistenia pre prípad kybernetického rizika;
Oznamovanie porušenia ochrany osobných údajov
- prevádzkovateľovi vznikne podľa GDPR nová povinnosť oznámiť porušenie ochrany osobných údajov dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín od zistenia tejto skutočnosti s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb;
- v prípade, ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb bude prevádzkovateľ povinný toto porušenie oznámiť aj dotknutej osobe;
4skupina podnikov je riadiaci podnik a ním riadené podniky. 5pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.
Rozšírenie práv dotknutých osôb
GDPR spresňuje a rozširuje práva dotknutých osôb, čo bude mať dopad aj na spracúvateľov osobných údajov, od ktorých sa bude vyžadovať prijatie nových riešení a opatrení za účelom zabezpečenia výkonu týchto práv. Medzi uvedené práva patria najmä:
- právo na vymazanie (právo na „zabudnutie“);
- právo na opravu;
- právo na obmedzenie spracúvania;
- právo na prenosnosť údajov;
- právo namietať;
- právo namietať automatizované individuálne rozhodovanie a profilovanie.
Sankcie
GDPR upravuje viacero sankcií za porušenie jednotlivých povinností, ktoré z neho vyplývajú prevádzkovateľovi alebo sprostredkovateľovi, a to:
- správna pokuta V závislosti od porušenia konkrétnej povinnosti ustanovenej v GDPR hrozí uloženie správnej pokuty až do výšky:
- max. 10.000.000 EUR alebo v prípade podniku 2% z celkového svetového ročného obratu podniku, podľa toho ktorá suma je vyššia (napr. za nesplnenie povinnosti viesť záznamy o spracovateľských činnostiach, povinnosti posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov atď.);
- max. 20.000.000 EUR alebo v prípade podniku 4% z celkového svetového ročného obratu podniku, podľa toho ktorá suma je vyššia (napr. za porušenie vyššie uvedených práv dotknutých osôb);
- nápravné opatrenia
Dozorný orgán je v prípade porušenia povinností ustanovených v GDPR oprávnený uložiť popri alebo namiesto správnej pokuty aj nápravné opatrenia, medzi ktoré patrí napr. napomenutie, nariadenie obmedzenia alebo zákazu spracúvať osobné údaje, odňatie certifikátu atď. - iné sankcie ustanovené členskými štátmi
V súlade s GDPR môžu členské štáty okrem správnych pokút a nápravných opatrení ustanoviť aj ďalšie sankcie. Takouto sankciou môže byť poriadková pokuta za neposkytnutie súčinnosť dozornému orgánu pri výkone dozoru.
Dozorný orgán pri rozhodovaní o uložení správnej pokuty a jej výške zohľadňuje viaceré kritéria ako sú povaha, závažnosť a trvanie porušenia povinností, charakter porušenia povinností, miera spolupráce s dozorným orgánom pri náprave porušenia povinností a i.
Zhrnutie
GDPR zjednocuje proces spracúvania osobných údajov, rozširuje práva dotknutých
osôb, ale aj zavádza viacero povinností, ktoré budú mať dopad na doteraz nastavené
procesy spracúvania osobných údajov. Tieto spracovateľské procesy osobných údajov
budú prevádzkovatelia a sprostredkovatelia povinní zosúladiť s GDPR do 25.05.2018.
Do tohto obdobia odporúčame prevádzkovateľom a sprostredkovateľom posúdiť súlad
súčasne nastavených procesov spracúvania osobných údajov s GDPR a pri zistení
akéhokoľvek nesúladu, tento odstrániť prijatím potrebných opatrení. V opačnom
prípade hrozí prevádzkovateľom a sprostredkovateľom uloženie sankcií zo strany
dozorného úradu.
Veľmi radi Vám poskytneme podporu pri procese zosúladenia spracúvania osobných
údajov s GDPR. Neváhajte sa na nás kedykoľvek obrátiť.
0 Comments 4. októbra 2017