Čo je GDPR ?
GDPR (General Data Protection Regulation) alebo všeobecné nariadenie na ochranu osobných údajov. Ide o nariadenie Európskej únie, ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov.
Ochrana fyzických osôb v súvislosti so spracovávaním osobných údajov patrí medzi základné ľudské práva. Najdôležitejší je rešpekt súkromného a rodinného života či uchovávanie citlivých informácií o ostatných.
Nové nariadenie Európskeho parlamentu a Rady EÚ so sebou prináša balíček zmien v oblasti ochrany osobných údajov. Nariadenie s názvom GDPR – General Data Protection Regulation vstúpi do platnosti 25. mája 2018.
Toto potrebujete vedieť!
-
Koho sa zmena týka? Nová legislatíva sa bude týkať všetkých podnikateľských subjektov, ktoré spracúvajú osobné údaje zamestnancov, zákazníkov alebo klientov. Takisto sa legislatívne zmeny dotknú aj sprostredkovateľov, akými sú účtovníci, právnici alebo reklamné agentúry.
-
Nová definícia osobných dát. V rámci GDPR sa osobnými dátami stávajú údaje, ktoré vedú k identifikovaniu jednotlivca. Pre predstavu teda ide aj o údaje, ktoré sú prepojené s genetikou, duševným zdravím alebo sociálnou situáciou.
-
GDPR vyžaduje prísnejšie pravidlá pre získanie súhlasu so spracovaním osobných údajov. Nový zákon bude kontrolovať spôsob, akým organizácie komunikujú s klientom pri získavaní súhlasu o spracovaní a použití osobných údajov. GDPR tak bude vyžadovať použitie jednoduchého jazyka a takisto bude musieť byť zreteľne jasné, prečo daná firma osobné údaje potrebuje, ako ich bude spracovávať a taktiež ako s nimi bude nakladať.
-
Firmy a organizácie budú mať povinnosť určiť zodpovednú osobu. DPO – Data Protection Officer bude musieť byť pracovná pozícia, ktorá bude odborníkom na ochranu a spracovanie osobných údajov. Pozíciu okrem verejnej správy budú musieť obsadiť, respektíve dať do kompetencie osobe, zamestnancovi, ktorej pravidelnou činnosťou bude systematické monitorovanie a spracovanie osobných údajov.
-
Únik osobných údajov sa musí oznámiť. Nové nariadenie GDPR ukladá za povinnosť, aby firma či organizácia informovala úrad pre ochranu osobných údajov o úniku do 72 hodín po zistení. Firma musí zaistiť proces, ktorým umožní odhalenie úniku a takisto jeho riešenie.
-
Právo byť vymazaný. Právo na výmaz je v znení i terajších platných zákonov. Tentoraz však ak používateľ požiada o výmaz údajov, poskytovateľ posúdi oprávnenosť žiadosti a následne po splnení podmienok užívateľa musí údaje vymazať. Následne však musí informovať i spracovávateľov, ktorí údaje spracovali, o ich odstránení.
-
GDPR žiada ochranu súkromia už v samotnom systéme. Ide teda o ochranu osobných údajov už v návrhu systému. Teda počiatočné fázy IT systémov pre spracovanie osobných dát musia vyhovovať samotným princípom ochrany.
-
Povinné PIA – Privacy Impact Assessment. Tento nástroj je definovaný ako spôsob, ktorým možno odhaliť dopad ochrany osobných údajov na súkromie klientov. Ide teda o preverenie rizík spojených s možným únikom osobných dát. Takto sa ešte v procese vývoja dá zistiť, ako účinný projekt je.
-
Jednotný prístup. Toto nariadenie sa dotýka každej spoločnosti a organizácie, ktorá podlieha úradu na ochranu osobných údajov, bez ohľadu na to, kde má sídlo.
-
Sprostredkovatelia budú mať prísnejšie pravidlá. Účtovné či právnické firmy, ktoré spracúvajú osobné údaje klientov, budú musieť splniť určité nové podmienky. Ako napríklad viesť zoznam spracovateľských operácií každého klienta alebo využívať šifrovanie a chránenú komunikáciu.
-
Spracúvanie údajov detských užívateľov. V tomto bode sa GDPR dotkne osôb mladších ako 16 rokov, kde sa pre spracovanie osobných údajov bude vyžadovať súhlas zákonného zástupcu (rozhranie API).
-
Pokuty budú vyššie! Za porušenie nariadení týkajúcich sa spracúvania osobných údajov hrozí pokuta až do výšky 20 000 000 eur, prípadne pokuty do výšky 4 % svetového ročného obratu za predchádzajúci účtovný rok.
Kedy príde v účinnosť?
Súbor ucelených pravidiel na ochranu dát nadobudne účinnosť 25.5.2018. Dotkne sa aj vás? V roku 2016 bolo GDPR schválené. Do 25. 5. 2018 musia všetci zrevidovať a zjednotiť informačné systémy a postupy pri práci s údajmi. Ich tok je v rámci Únie podporovaný a nariadenie zaručuje vysokú ochranu pred zneužitím citlivých informácií.
Aké budú sankcie?
Záleží hlavne na charaktere a závažnosti incidentu. Pokuty však môže dosiahnuť až 4 % z celkového obratu spoločnosti či 20 miliónov eur. Podľa toho, ktorá suma je vyššia.
Koho sa GDPR dotýka?
Každého, kto zhromažďuje a spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo EÚ, ktoré pôsobia na našom trhu. Nariadenie je platné pre firmy, inštitúcie, jednotlivcov – zamestnancov, zákazníkov, klientov aj dodávateľov naprieč všetkými odvetviami. Rovnako sa týka aj tých, ktorí analyzujú chovanie užívateľov webov a aplikácií.
• bankové inštitúcie a poisťovne
• zdravotníctvo
• verejná správa
• e-shopy
• výroba a služby
V čom GDPR spočíva?
GDPR nahradí zákon o ochrane osobných údajov na SR. Cieľom je ochrana digitálneho práva všetkých občanov. Hlavým bodom je upravený spôsob spracovávania osobných údajov. Pri porušeniach hrozia vysoké pokuty. Viac nájdete v článku "Aké hlavné zmeny nás čakajú".
Najvýznamnejšie povinnosti:
• ustanovenie zodpovednej osoby
• upravenie príslušnej dokumentácie podľa novej právnej úpravy
• zmena súhlasu so spracovaním osobných údajov
• likvidačné pokuty za porušenie povinnosti
Kedy je potrebné stanoviť zodpovednú osobu:
• orgán verejnej moci a verejnoprávny subjekt
• subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vyžadujú pravidelné monitorovanie osôb
• subjekty, ktoré spracovávaj informácie, ktoré sa týkajú viny za trestné činy