Všeobecné nariadenie o ochrane osobných údajov (GDPR)
Dňa 27. apríla 2016 bolo schválené nové nariadenie EÚ o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov (ďalej len „nariadenie GDPR“). Nariadenie GDPR zavádza celkom novú úroveň ochrany osobných údajov a prináša významné zmeny v oblasti nakladania s osobnými údajmi, ktoré sa zásadným spôsobom dotknú väčšiny podnikateľov.
Nariadenie bude účinné a vymáhateľné už od 25. 5. 2018, a to bez akejkoľvek transpozície do českého a slovenského právneho poriadku.
Problematiku ochrany osobných údajov dlhodobo sledujeme. Sme takisto zastúpení naším kolegom Tomášom Mudrom v pracovnej skupine Úradu vlády ČR k legislatíve v oblasti ochrany osobných údajov.
Vo firmách našich klientov analyzujeme ich existujúci stav a zavádzame u nich nový systém. Pri tom úzko spolupracujeme s naším IT partnerom, spoločnosťou SIMAC TECHNIK ČR, a.s.
Čo zásadné teda prináša všeobecné nariadenie o ochrane osobných údajov?
Protection by design, čiže zámerná ochrana osobných údajov
Nariadením GDPR sa ako červená niť ťahá požiadavka na zohľadnenie ochrany osobných údajov v priebehu všetkých relevantných činností správcu osobných údajov, a to už od okamihu určenia prostriedkov spracovania. Nariadenie GDPR predpokladá nielen to, že systém ochrany osobných údajov bude štandardne a systematicky zavádzaný od prvotných úvah o novom projekte, ale tiež, že tento systém bude pravidelne vyhodnocovaný a aktualizovaný s ohľadom na vývoj technických prostriedkov a stále nových hrozieb. Princíp zámernej ochrany osobných údajov sa zároveň stane významným interpretačným pravidlom pre celé nariadenie GDPR.
Posúdenie vplyvu na ochranu osobných údajov
Nariadenie GDPR ruší doterajšiu ohlasovaciu povinnosť príslušnému dozornému úradu v okamihu, keď dochádza k novému spracovávaniu osobných údajov, a nahradzuje ho internou analýzou posúdenia vplyvu zavádzaných procesov na ochranu a bezpečnosť spracovávaných osobných údajov. Až v okamihu, keď táto analýza potvrdí vysoké riziko, je správca povinný kontaktovať dozorný úrad. Posúdenie vplyvu na ochranu osobných údajov má však svoje záväzné pravidlá a silne sa doň premieta vyššie zmienený princíp zámernej ochrany osobných údajov.
Prísne pokuty za porušenie nariadenia
Nariadenie GDPR výrazne navyšuje výšku pokút za porušenie ochrany osobných údajov, a to až do desiatok miliónov eur. Po novom môžu byť pokuty uložené do výšky 20 000 000,– eur, alebo dokonca aj vyššie, a to až do 4 % celosvetového obratu správcu osobných údajov (pokiaľ je táto suma vyššia než 20 000 000,– eur). Upozorňujeme, že v českom a slovenskom prostredí dozorný úrad zároveň získava priamo z nariadenia GDPR aj nové kontrolné oprávnenia, ktoré nie sú doposiaľ zakotvené v českých správnych predpisoch.
Záznamy o činnostiach spracovania
Nariadenie GDPR zvyšuje nároky na systematické zaznamenávanie vykonávaných operácií s osobnými údajmi. Každý správca, až na uvedené výnimky, je povinný viesť záznamy o spracovaní, ktorých obsah je vymedzený nariadením. Všeobecne je potrebné očakávať významný nárast povinnej dokumentácie súvisiacej so spracovávaním osobných údajov.
Povinnosť oznámiť porušenie zabezpečenia osobných údajov
Najnovšie sa v mnohých prípadoch ukladá správcovi ohlásiť porušenie zabezpečenia osobných údajov (tzv. „data leaks“) priamo subjektom údajov vrátane podania ďalších informácií o takom úniku. Vždy je zároveň potrebné o porušení zabezpečenia osobných údajov bezodkladne informovať dozorný úrad a poskytnúť mu k porušeniu zabezpečenia informácie podľa nariadenia GDPR.
Poverenec pre ochranu osobných údajov (DPO)
Zavádza sa v českom a slovenskom (?) prostredí celkom nový inštitút „interného audítora“ ochrany osobných údajov. Správca ho musí povinne ustanoviť, pokiaľ v rámci nakladania s osobnými údajmi v danej spoločnosti dochádza k rozsiahlemu, pravidelnému a systematickému monitorovaniu fyzických osôb alebo jeho hlavnou činnosťou je rozsiahle spracovávanie zvláštnych kategórií osobných údajov. Môže ísť o zamestnanca priamo podriadeného vrcholovému manažmentu alebo o externistu. I keď podoba zmluvného vzťahu medzi spoločnosťou a jej poverencom (DPO) je ponechaná na vôli strán, povinnosti aj práva poverenca (DPO) sú konkrétne vymedzené nariadením GDPR.
Právo na prenositeľnosť údajov
Subjekt údajov má teraz právo získať bezplatne v strojovo čitateľnej podobe od správcu svoje osobné údaje, popr. požadovať odovzdanie takých osobných údajov priamo inému správcovi. Toto právo sa potenciálne dostáva do konfliktu s právom autorským (najmä ochrana databáz), ale v mnohých prípadoch aj s obchodným tajomstvom (napr. marketingové analýzy, analýzy bonity). Preto je dôležité poznať presné hranice tohto práva a prispôsobiť jeho realizáciu konkrétnym podmienkam vo vašej spoločnosti, s čím vám radi pomôžeme.
Novú úpravu odovzdávania osobných údajov do tretích krajín
Nariadenie GDPR sa pokúša o ďalšiu úpravu už dnes veľmi problematického odovzdávania osobných údajov mimo krajín EÚ, k čomu zavádza aj niektoré nové nástroje.
