Bližšie k Vám: | BA | BB | ZV |

phone Hotline: +421 917 743382

GDPR -  Všeobecné nariadenie o ochrane osobných údajov 

audit1Ochrana osobných údajov patrí do oblasti zachovávania základných ľudských práv a slobôd. Spracovateľom osobných údajov vzniká množstvo povinnosti spojených s ich ochranou. Medzi hlavne patrí posúdenie všetkých vplyvov na informačné systémy, v ktorých sa spracúvajú osobné údaje a zabezpečenie tak primeraných technických, organizačnýchpersonálnych opatrení.

GDPR je skratka Európskeho nariadenia General Data Protection Regulation (2016/679). Všeobecné nariadenie GDPR vnáša do ochrany osobných údajov nové pravidlá a hlavne posilňuje ich spoločenský význam. Rozdeľuje spracovateľov do rôznych skupín, z čoho im vyplývajú rôzne povinnosti.

Pozor: Spracovatelia osobných údajov sa musia s novým nariadením zosúladiť najneskôr do 25. 5. 2018.

 
Hlavné zmeny

  1. Sprísnili sa pravidlá pri získavaní súhlasu na spracúvanie osobných údajov:
    1. Súhlas by sa mal poskytnúť s jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú (napríklad prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením alebo označenie políčka pri návšteve internetového webového sídla; v tejto súvislosti dávame do pozornosti, že políčko nesmie byť vopred označené).
    2. Ak sa spracúvanie vykonáva na viaceré účely, súhlas sa má udeliť/má byť oddelený/uvedený oddelene na všetky tieto účely.
    3. Zákaz podmieňovať súhlas so spracúvaním osobných údajov, ktorý nie je na plnenie zmluvy, vrátane poskytnutia služby, nevyhnutný.
       
  2. Spracúvanie osobných údajov u osôb mladších ako 16 rokov
    1. Ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby, v súvislosti s ponukou služieb adresovanou priamo maloletému, je spracúvanie osobných údajov maloletého zákonné, len ak má maloletý aspoň 16 rokov. Ak má maloletý menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil zákonný zástupca alebo zákonný opatrovník maloletého. Takýto prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si v takýchto prípadoch overil, že zákonný zástupca alebo zákonný opatrovník maloletého vyjadril súhlas alebo ho schválil, pričom zohľadní dostupnú technológiu.
       
  3. Spracúvanie biometrických údajov
    1. Nová právna úprava upustila od oznamovacej a registračnej povinnosti podľa § 33 a násl. zákona. Podľa tejto úpravy ochrany osobných údajov bude evidenčná povinnosť nahradená vedením záznamov podľa čl. 30 nariadenia.
    2. V prípade spracúvania osobitnej kategórie osobných údajov vo veľkom rozsahu bude prevádzkovateľ povinný posúdiť vplyv na ochranu osobných údajov a ustanoviť zodpovednú osobu.
    3. Prenos osobitnej kategórie osobných údajov tretej strane so sídlom v tretej krajine, ktorá nezaručuje primeranú úroveň ochrany osobných údajov, bude dovolené len s predchádzajúcim výslovným súhlasom dotknutej osoby, ak osobitný zákon neustanovuje inak.
       
  4. Zodpovednosť prevádzkovateľa a sprostredkovateľa
    1. Nová právna úprava upravuje vzájomný vzťah spoločných prevádzkovateľov (ak nie je upravený v osobitnom právnom predpise) podľa čl. 26 nariadenia, a to tak, že im stanovuje:
      1. povinnosť uzatvorenia ich vzájomnej dohody,
      2. transparentné určenie príslušných zodpovednostných vzťahov voči spracúvaniu osobných údajov a za plnenie povinností v nariadení a v novom zákone stanovených (dôraz na práva dotknutej osoby, plnenie informačnej povinnosti)
      3. odporúčanie na určenie kontaktného miesta jedného prevádzkovateľa pre dotknuté osoby (tým nie je dotknuté právo dotknutej osoby na uplatnenie si jej práv u každého a voči každému prevádzkovateľovi),
      4. povinnosť poskytnúť základné časti ich vzájomnej dohody dotknutým osobám.
    2. Nová právna úprava v súvislosti s ustanovením sprostredkovateľa ustanovila nové obsahové náležitosti zmluvy, ako:
      1. predmet a dobu spracúvania,
      2. povahu a účel spracúvania,
      3. typ osobných údajov,
      4. kategórie dotknutých osôb,
      5. povinnosti a práva prevádzkovateľa,
      6. oprávnenie spracúvať osobné údaje prevádzkovateľom len na základe zdokumentovaných pokynov prevádzkovateľa; poučenie a povinnosť mlčanlivosti oprávnených osôb aj zo strany sprostredkovateľa; povinnosť sprostredkovateľa vykonať všetky opatrenia prijaté pri posúdení vplyvu na ochranu údajov.
         
  5. Zodpovedná osoba
    1. Povinnosť ustanoviť zodpovednú osobu vzniká:
      1. orgánom verejnej moci,
      2. subjektom, ktorý vykonávajú svoju činnosť vo verejnom záujme,
      3. kto spracúva osobné údaje vo veľkom rozsahu,
      4. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
      5. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov.
    2. Zodpovednou osobou môže byť aj právnická osoba, pokiaľ sa zaručí identifikovanie jednej určenej osoby zodpovednej za spracúvanie osobných údajov u konkrétneho prevádzkovateľa.
    3. Zodpovedná osoba musí disponovať odbornými kvalitami v oblasti ochrany osobných údajov a spôsobilosťou plniť úlohy zodpovednej osoby; odpadá povinnosť absolvovania skúšky na úrade, notifikačná povinnosť voči úradu ostala zachovaná.
       
  6. Vypracovanie bezpečnostných opatrení
    1. Nová právna úprava zakotvila povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov, ktorý musí obsahovať:
      1. systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu ako právneho základu podľa čl. 6 ods. 1 písm. f) nariadenia, ktorý sleduje prevádzkovateľ,
      2. posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
      3. posúdenie rizika pre práva a slobody dotknutých osôb vo vzťahu k rizikovým spracovateľským operáciám a
      4. opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka. Vykonané posúdenie vplyvu prevádzkovateľom je povinný prehodnocovať, a to aspoň vtedy ak došlo k zmene rizika.
    2. Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s nariadením. Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s úradom.

  7. Povinné nahlasovanie porušenia ochrany osobných údajov Dozornému orgánu 
    1. Prevádzkovateľ je povinný oznámiť porušenie ochrany osobných údajov najneskôr do 72 hodín Dozornému orgánu. Ak nie je možné oznámenie podať do 72 hodín, malo by sa k neskôr urobenému oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
       
  8. Výber príslušného vedúceho dozorného orgánu
    1. Prevádzkovateľ, ktorý podniká vo viacerých krajinách EU si môže sám určiť príslušný vedúci dozorný orgán, ktorému má podliehať. 
    2. Určenie vedúceho dozorného orgánu má vplyv na nahlasovanie zodpovednej osoby; nahlasovanie porušenia ochrany osobných údajov; posúdenie vplyvu na ochranu osobných údajov a žiadostí o predchádzajúcu konzultáciu.