IT ČLÁNKY A NÁVODY - PORADŇA - IT MAGAZÍN
Ďakujeme za hodnotenie článkov. Hodnotením prispievate k ich pravidelnej aktualizácii a zvyšovaniu ich kvality.
Podporte nás:
13.10.2017
GDPR
Čo je GDPR?
GDPR nariadenie EÚ nahrádza od 25.5.2018 Zákon o ochrane osobných údajov a definuje osobný údaj ako údaj týkajúci sa určenej alebo určiteľnej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Okrem bežných osobných údajov, ktorými vieme fyzickú osobu priamo identifikovať, ako sú napríklad meno, priezvisko, fotografia či e-mailová adresa, sa GDPR bude vzťahovať aj na údaje, na základe ktorých možno identifikovať osobu nepriamo, prostredníctvom tretích osôb, napríklad telefónne číslo, číslo účtu, odtlačok prsta, hlas či lokalizačné údaje.
Citlivé osobné údaje GDPR definuje ako tie, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
Postup zavedenia GDPR
• Určiť kompetentnú osobu pre otázky GDPR v rámci spoločnosti. To znamená určiť, kto
v rámci danej spoločnosti rozumie otázke ochrany osobných údajov a bude vedieť posúdiť
dopad GDPR na konkrétnu spoločnosť. Touto osobou môže byť buď zodpovedná osoba
(ak ju spoločnosť v minulosti mala) alebo aj právnik spoločnosti (v súčinnosti s technickými
špecialistami). Ak taká osoba v rámci spoločnosti nie je, je vhodné vyhľadať experta externe.
• Data mapping. Následne je potrebné definovať, aké osobné údaje spoločnosť spracúva. Povaha a rozsah dát budú určujúce pre množstvo povinností, ktoré bude musieť daná spoločnosť v rámci GDPR splniť.
• Prioritizácia. Súlad s GDPR, najmä vo väčších spoločnostiach, nebude možné robiť naraz pre všetky databázy obsahujúce osobné údaje. Podľa množstva dát spracúvaných spoločnosťou alebo ich citlivosti bude treba určiť priority.
• Potrebné zvážiť riziká a určiť:
I. ktoré databázy sú v rámci spoločnosti najobjemnejšie,
II. ktoré databázy obsahujú citlivé osobné údaje,
III. prípadne iné „potenciálne slabé miesta“ spoločnosti týkajúce sa osobných údajov (napríklad väčšia databáza s osobnými údajmi je outsourcovaná na spracúvanie tretej strane).
Súlad s GDPR by sa mal prioritne začať vykonávať práve v týchto oblastiach a následne sa presunúť k ostatným databázam.
• Vnútropodnikový „step-plán“: Po tom, ako spoločnosť určí prioritné oblasti, ktoré berú do úvahy riziká, bude potrebné určiť zamestnancov, ktorí budú zodpovední za implementáciu jednotlivých krokov. Bude potrebné najmä:
I. Určiť, či databáza neobsahuje viac údajov než je nevyhnutne potrebné,
II. Definovať správny právny základ pre spracúvanie (napríklad súhlas, zmluva a podobne),
III. Zrevidovať informáciu poskytnutú dotknutým osobám respektíve politiku ochrany súkromia (Privacy Policy),
IV. Zrevidovať zmluvy so sprostredkovateľmi, ktorým boli outsourcované niektoré činnosti týkajúce sa osobných údajov,
V. Zrevidovať bezpečnostné opatrenia (a ubezpečiť sa, či sú dostatočné),
VI. Zrevidovať postup, ako spoločnosť nakladá so žiadosťami dotknutých osôb (napríklad žiadosť o výmaz osobných údajov alebo žiadosť o prenesenie osobných údajov) a posúdiť, či súčasný stav je v súlade s postupmi a termínmi podľa GDPR,
VII. Zrevidovať procesy pre oznamovanie porušení osobných údajov (aby spoločnosť bola schopná vykonať oznámenie v rámci určených termínov).
11 najdôležitejších zmien, ktoré GDPR prináša
1. Povinnosť oznamovať porušenie ochrany osobných údajov regulátorovi ako aj jednotlivcom
(napr. strata údajov, únik údajov, krádež identity, výmena obálky určenej dvom rôznym osobám, prístup neoprávnenej osoby k databáze obsahujúcej osobné údaje).
V prípade, že spoločnostiam po máji 2018 uniknú dáta alebo ich stratia, alebo nastane iné porušenie osobných údajov, nebude môcť takúto situáciu riešiť spoločnosť iba interne ako tomu bolo doteraz, ale bude musieť bezodkladne (najneskôr do 72 hodín) informovať o takomto incidente príslušný dozorný orgán, ktorým je u nás Úrad na ochranu osobných údajov Slovenskej republiky.
Taktiež vzniká spoločnosti povinnosť oznámenia incidentu jednotlivcom, ktorých dát sa incident týka.
2. Zmenené podmienky na nomináciu tzv. zodpovednej osoby
Spoločnosti, ktoré podľa GDPR budú musieť nominovať zodpovednú osobu, by sa mali rozhodnúť, či túto úlohu zveria osobe (zamestnancovi) v rámci spoločnosti alebo budú túto úlohu outsourcovať externej fyzickej osobe/spoločnosti.
3. Pokuty za porušenie
• Pokuta až do výšky 20 miliónov eur, alebo v prípade spoločnosti až do výšky 4% celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia.
Pokuta bude uložená napr. v prípadoch:
a) ak neboli splnené podmienky súhlasu so spracovaním, alebo
b) ak boli porušené zásady prenosu dát mimo územia Európskej únie.
• Pokuta až do výšky 10 miliónov eur, alebo v prípade spoločnosti až do výšky 2%
celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia.
Pokuta bude uložená napr. v prípadoch:
a) nedostatočná zmluva so sprostredkovateľom, ktorá nespĺňa podmienky podľa GDPR,
b) nezabezpečenie dostatočnej bezpečnosti spracúvaných osobných údajov,
c) neoznámenie porušenia ochrany osobných údajov,
d) nenominovanie zodpovednej osoby v tých prípadoch kde to GDPR vyžaduje.
4. Právomoci úradu na ochranu osobných údajov mimo udeľovania pokút
• Úrad môže nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania.
• Úrad môže nariadiť vymazanie osobných údajov.
• Úrad môže nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe.
• Úrad môže nariadiť pozastavenie toku údajov príjemcovi v tretej krajine.
5. Možnosti udelenia platného súhlasu pri spracúvaní osobných údajov
• písomným vyhlásením formulovaný jasne a jednoducho
• ústnym vyhlásením
• označením / zakliknutím políčka (vopred označené políčka nebudú považované za súhlas)
• akýmkoľvek iným vyhlásením či úkonom, ktorý jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.
Spracúvanie osobných údajov osobou mladšou než 16 rokov je zákonné iba za podmienky, že súhlas vyjadril alebo schválil rodič alebo nositeľ rodičovských práv a povinností.
Súhlas v cudzom jazyku, ktorému jedinec nerozumie, nebude spĺňať predpoklady GDPR.
Súčasné súhlasy ktoré neobsahujú dostatočné množstvo informácií podľa požiadaviek GDPR budú považované za neplatné a bude potrebné vyžiadať si nové súhlasy.
6. Možnosti odvolania súhlasu
Dotknutá osoba má podľa GDPR právo kedykoľvek svoj súhlas odvolať, čo jej musí byť pred poskytnutím súhlasu špecificky oznámené.
Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Odvolanie súhlasu však nebude mať vplyv na zákonnosť spracúvania pred jeho odvolaním.
7. Právo byť zabudnutý (nahradzuje právo na výmaz)
Právo na výmaz sa môže uplatniť ak sú dáta, ktoré sa jednotlivca týkajú, spracúvané protizákonne alebo keď osoba odvolá súhlas na spracúvanie. Výmaz dát musí prevádzkovateľ vykonať bez zbytočného odkladu, najneskôr do jedného mesiaca od obdržania žiadosti.
8. Povinnosť „privacy by design and by default“
Povinnosť prevádzkovateľa zabezpečiť:
• Pseudonymizáciu údajov (t.j. napr. kódovanie údajov).
• Minimalizáciou údajov (t.j. ak prevádzkovateľ implementuje primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne jeho systémy budú spracúvať len osobné údaje, ktoré sú nevyhnutne potrebné a žiadne iné a to len na nevyhnutnú dobu. Rovnako musia takéto opatrenia zabezpečiť, aby osobné údaje neboli štandardne prístupné neobmedzenému počtu zamestnancov prevádzkovateľa, ale len zamestnancom, ktorí nevyhnutne potrebujú prístup k týmto osobným údajom).
9. Právo na prenosnosť údajov
Dotknutá osoba bude mať právo získať osobné údaje, ktoré sa jej týkajú, a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi. Takémuto prenosu nesmie „pôvodný“ prevádzkovateľ brániť a dokonca musí jednotlivca špecificky upozorniť, že takéto právo má.
10. Zodpovednosť sprostredkovateľov
Sprostredkovatelia majú priame povinnosti ochrany osobných údajov, a to napriek tomu, že nespracúvajú osobné údaje vo vlastnom mene, ale pre niektorého zo svojich klientov.
Povinnosti sprostredkovateľov:
• Sprostredkovatelia budú v niektorých prípadoch povinní nominovať zodpovednú osobu rovnako ako prevádzkovatelia.
• Sprostredkovatelia budú povinní viesť zoznamy spracovateľských operácií, a to pre každého klienta (prevádzkovateľa) zvlášť.
• V prípade porušenia ochrany osobných údajov musia sprostredkovatelia informovať prevádzkovateľa.
Skutočným nebezpečenstvom nie je to, že počítače začnú myslieť ako ľudia, ale to, že ľudia začnú myslieť ako počítače.
