10 apríla, 2018

1.        Okruh osobných údajov

Vzhľadom na rozšírenie doterajšieho okruhu chránených osobných údajov, o ďalšie údaje najmä technického charakteru, akými sú IP adresa, lokalizačné údaje alebo súbory cookies, je nevyhnutné v prvom kroku zistiť, aké osobné údaje sú prevádzkovateľom spracúvané a či niektoré z nich spadajú do osobitnej kategórie osobných údajov.

2.        Účel spracúvania osobných údajov

Získavané osobné údaje môžu byť spracúvané iba na výslovne uvedené a oprávnené účely. Účel spracúvania osobných údajov by mal byť obsiahnutý tak v záznamoch o spracovateľskej činnosti, ako aj v informáciách pre dotknutú osobu, súhlase so spracovaním osobných údajov, sprostredkovateľskej zmluve či bezpečnostnej dokumentácii. Spracúvanie osobných údajov na iné účely, než na aké boli získané (napríklad na účely marketingu) je bez právneho základu vylúčené.

3.        Právny základ spracúvania osobných údajov

Spracúvanie osobných údajov je podľa novej právnej úpravy zákonné iba vtedy, ak je daný právny základ spracúvania, za ktorý je považovaný zákon, zmluva, oprávnený záujem prevádzkovateľa (okrem orgánov verejnej moci pri výkone ich úloh), ochrana dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, plnenie úloh vo verejnom záujme a súhlas dotknutej osoby. Novou právnou úpravou sa ako osobitný právny základ pre spracúvanie osobných údajov rušia priamy marketing v poštovom styku, ďalšie spracúvanie už osobných údajov, jednorázový vstup či monitorovanie priestorov prístupných verejnosti. Je preto potrebné nanovo prehodnotiť, na akých právnych základoch sú vo vašej spoločnosti spracúvané osobné údaje.

4.        Súhlas ako právny základ spracúvania osobných údajov

Súhlas je len jedným z viacerých právnych základov pre spracúvanie osobných údajov. GDPR však rozširuje požiadavky pre získanie súhlasu spôsobom, pre ktorý bude získanie a preukazovanie získania súhlasu so spracovaním osobných údajov o niečo komplikovanejšie. Súhlas musí byť po novom udelený najmä konkrétne, slobodne, informovane, jednoznačne a ničím nepodmienene. Ak je pre spracovanie údajov takýto súhlas vyžadovaný, nemôže byť jeho neudelenie dôvodom odopretia služby, ibaže by to samotná služba vyžadovala. Vopred nastavené zaškrtnutie políčka pre udelenie súhlasu so spracovaním osobných údajov alebo viazanie tohto súhlasu na uzavretie zmluvy či prijatie obchodných podmienok už nebude možné (vzhľadom na to je napríklad v rámci elektronických služieb na preukázanie skutočného udelenia súhlasu so spracovaním vhodné použiť tzv. double-opt-in metódu).

5.        Informovanie dotknutej osoby a práva dotknutej osoby

Z hľadiska rozsahu povinnosti informovať dotknutú osobu t. j. osoby, ktorej osobné údaje sú spracúvané a lehôt na informovanie, je potrebné vyhodnotiť, či ste osobné údaje získali priamo od dotknutej osoby alebo od inej ako dotknutej osoby. GDPR, ako aj nový zákon o ochrane osobných údajov, mení aj obsah informačnej povinnosti prevádzkovateľa vo vzťahu k dotknutej osobe. Je vhodné tiež zvážiť potrebu nanovo upraviť spôsoby informovania dotknutej osoby. Novou úpravou došlo tiež k rozšíreniu a spresneniu jednotlivých práv dotknutých osôb, a to napríklad o právo na opravu, právo na výmaz (vrátane práva „byť zabudnutý“), právo na obmedzenie spracúvania či právo namietať automatizovaní individuálne rozhodovanie a profilovanie.

6.        Cezhraničný tok osobných údajov

Cezhraničným spracúvaním osobných údajov sa rozumie spracúvanie osobných údajov na území štátov EÚ a ich prenos výlučne v rámci členských štátov. Pokiaľ je realizovaný prenos osobných údajov mimo EÚ, je možné ho realizovať iba na základe rozhodnutia o primeranosti alebo ak takéto rozhodnutie neexistuje, vyžaduje sa poskytnutie primeraných záruk. V ostatných prípadoch je možné realizovať cezhraničný prenos iba sa v nariadení taxatívne vymedzených podmienok. Uvedené skutočnosti je potrebné vziať do úvahy napríklad aj pri služobných cestách vašich zamestnancov mimo EÚ.

7.        Sprostredkovateľská zmluva

Pokiaľ máte sprostredkovateľskú zmluvu so subjektom, ktorý spracúva osobné údaje vo vašom mene, či už pre vás zabezpečuje vedenie personálnej a mzdovej agendy, migráciu dát, zálohovanie, personalizované balíčkovanie gastrolístkov, organizovanie spotrebiteľských súťaží alebo iné služby, je potrebné do 25.5.2018 zosúladiť vašu sprostredkovateľskú zmluvu s novými požiadavkami podľa GDPR.

8.        Zodpovedná osoba (DPO – Data protection officer)

Nový zákon zavádza povinnosť ustanoviť tzv. zodpovednú osobu na ochranu osobných údajov v zákonom stanovených prípadoch (napr. ak prevádzkovateľ spracúva tzv. big data). Funkciu zodpovednej osoby môže zastávať zamestnanec prevádzkovateľa, ale aj externý špecialista, pričom skupina podnikov môže mať ustanovenú spoločnú zodpovednú osobu. Subjekty, ktoré nová právna úprava nezaväzuje ustanoviť zodpovednú osobu, tak môžu urobiť na báze dobrovoľnosti, ak to uznajú za vhodné. Zodpovedná osoba nemusí absolvovať žiadnu odbornú skúšku, ale mala by disponovať odbornými znalosťami práva a postupov v oblasti ochrany údajov.

9.        Bezpečnostné opatrenia podľa GDPR

Účinnosťou GDPR už nebude daná povinnosť vypracovať bezpečnostný projekt, povinnosť viesť evidenciu informačného systému alebo povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov (ďalej len ako “Úrad”). Prevádzkovateľ však bude povinný viesť záznamy o spracovateľských činnostiach a v stanovených prípadoch má tiež povinnosť vykonať posúdenie vplyvu ochrany údajov (napríklad pri spracúvaní osobných údajov, ktoré môže predstavovať vysoké riziko pre práva a slobody fyzických osôb); prípadne bude povinný požiadať Úrad o konzultáciu (v prípadoch, ak podnikateľ na základe analýzy posúdenia vplyvu zistí, že jeho činnosť by mohla byť vyhodnotená ako riziková).

10.     Lehoty uchovávania osobných údajov

V súlade so zásadou minimalizácie je potrebné pred účinnosťou GDPR prejsť všetky operácie s osobnými údajmi a preveriť, či sú uchovávané skutočne len po dobu trvania účelu spracúvania osobných údajov a následne len v súlade s archívnymi lehotami (ktoré môžu byť stanovené zákonmi alebo na ich základe, vždy však v súlade s požiadavkou minimalizácie doby uchovávania). Po uplynutí lehoty uchovávania osobných údajov je potrebné zabezpečiť výmaz dotknutých osobných údajov, a to zo všetkých systémov a nosičov, na ktorých sa nachádzajú (vrátane záloh, elektronickej komunikácie a pod.).

11.     Povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov ako i dotknutým osobám

Podnikatelia (v postavení prevádzkovateľov aj sprostredkovateľov) budú od mája 2018 povinní nahlásiť Úradu každé podstatnejšie narušenie či únik osobných údajov, a to najneskôr do 72 hodín od zistenia takéhoto bezpečnostného incidentu. Ak by takýto únik či narušenie predstavovali vážne riziko pre práva dotknutých osôb, podnikateľ bude povinný kontaktovať aj samotné dotknuté osoby, ktorých údaje môžu byť ohrozené. Predpokladom je prijatie opatrení na detekovanie incidentu a náležité posúdenie, či zistené porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.

12.     Prísnejšie pokuty podľa GDPR

Zosúladenie spracúvania a ochrany vami spracúvaných osobných údajov s novou právnou úpravou by ste mali realizovať najneskôr do 24.5.2018. V opačnom prípade sa vystavujete riziku uloženia pokuty za porušenie povinností pri ochrane osobných údajov, pričom GDRP stanovuje pokuty až do výšky 20.000.000 EUR, prípadne až do výšky 4 % z celosvetového ročného obratu. Ide o pokuty vo výške, ktorá môže byť pre niektoré subjekty až likvidačná. Zároveň je potrebné vziať do úvahy, že okrem uloženia týchto pokút príslušným úradom sa prevádzkovatelia porušením povinností pri ochrane osobných údajov vystavujú aj riziku žalôb dotknutých fyzických osôb s nárokom na náhradu škody prípadne aj nemajetkovej ujmy v peniazoch fyzických osôb s nárokom na náhradu škody prípadne aj nemajetkovej ujmy v peniazoch a v neposlednom rade aj strate dôvery a reputácie.

Vyššie uvedený výpočet úloh, ktoré by mal prevádzkovateľ osobných údajov splniť pred nadobudnutím účinnosti novej právnej úpravy v oblasti ochrany osobných údajov, nie je vyčerpávajúci. Okrem ďalších krokov, týkajúcich sa všetkých prevádzkovateľov, je potrebné prihliadnuť aj na individuálne potreby a situáciu jednotlivých prevádzkovateľov. V prípade záujmu Vám radi poskytneme odborné poradenstvo a právne služby v rámci prípravy Vašej spoločnosti na nové legislatívne požiadavky ochrany osobných údajov.