GDPR v skratke

ČO JE TO GDPR?

General Data Protection Regulation alebo v skratke GDPR je Generálne nariadenie Európskej únie 2016/679 upravujúce ochranu osobných údajov. GDPR, ktoré bude od 25. mája 2018 platiť pre všetkých 28 členských štátov EÚ a územie EFTA (Nórsko, Island, Lichtenštajnsko), prináša zásadné zmeny v oblasti ochrany osobných údajov, množstvo povinností pre súkromné spoločnosti a podnikateľov a doslova drakonické pokuty pri porušení zákona.

KOHO SA GDPR TÝKA?

Prakticky všetkých, ktorí prichádzajú do styku s osobnými údajmi v rôznych životných situáciách, teda orgánov verejnej moci, inštitúcií, veľkých spoločností aj malých firiem, podnikateľov, ak spracovávajú údaje o svojich zamestnancoch, uchádzačoch o zamestnanie, zákazníkoch, ak zhromažďujú, využívajú, zálohujú dáta na marketingové účely, využívajú kamerový systém, prevádzkujú internetový obchod a podobne. Osobným údajom je meno a priezvisko, e-mailová adresa, telefónne číslo, fotografia, lokalizačné údaje (IP adresa), ale aj hlas osoby či biometrický údaj. Keďže GDPR si kladie za cieľ komplexne chrániť osobné údaje v Európskej únii, nové nariadenie sa nedotýka len európskych krajín, ale aj zahraničných subjektov, ktoré prichádzajú do kontaktu s osobnými údajmi z EÚ krajín. Nariadenie myslí aj na sprostredkovateľov, teda na všetky spoločnosti alebo súkromných podnikateľov, cez ktoré osobné údaje z iných spoločností len prechádzajú.

AKÉ ZMENY GDPR PRINÁŠA?

Každý, kto akýmkoľvek spôsobom prichádza do kontaktu s osobnými údajmi, bude od mája 2018 povinný zabezpečiť ich ochranu v súlade s novým nariadením EÚ. Ide najmä o povinnosti upraviť príslušnú dokumentáciu v oblasti ochrany osobných údajov a prispôsobiť ju novej právnej úprave, zabezpečiť prevenciu pred možným únikom dát a neoprávneným prístupom k osobným údajom, vykonať zmeny v súhlasoch so spracúvaním osobných údajov, v anonymizovaní, v likvidácii údajov, upraviť všetky informačné systémy spracovávajúce osobné údaje pred bezpečnostným narušením, únikom dát, ich stratou, schopnosť včas identifikovať všetky bezpečnostné incidenty, analyzovať ich a zdokumentovať… Významnou povinnosťou pre vymedzené subjekty je tiež stanovenie zodpovednej osoby alebo DPO (skratka z angl. Data Protection Officer), teda osoby zodpovednej za ochranu osobných údajov).

GDPR VS. ZÁKON O OCHRANE OSOBNÝCH ÚDAJOV

So Zákonom 122/2013 Z. z. o ochrane osobných údajov sa množstvo súkromných spoločnosti v Slovenskej republike stretáva dennodenne alebo sa s nim už pri podnikaní stretlo. GDPR však bude mať nadradenú funkciu pred národnými zákonmi v oblasti ochrany osobných údajov v jednotlivých členských krajinách, teda voči novému nariadeniu bude Zákon ochrane osobných údajov plniť doplnkovú funkciu.

KOĽKO ČASU OSTÁVA?

Kto sa pripraví včas, nič neoľutuje. Hoci bolo nariadenie schválene už v roku 2016, množstvo spoločností, samosprávy alebo inštitúcie si nechávajú vybavovanie tejto agendy na poslednú chvíľu. Najlepšie je začať sa GDPR venovať už teraz. Prípravy na nové pravidlá z oblasti ochrany osobných údajov totiž okrem prípravy dokumentácie spočívajú aj v nastavovaní informačných systémov alebo v prijatí iných technických opatrení, čo môže trvať mesiace. Po 25. máji 2018 môže prekvapiť nielen kontrola dodržiavania nového nariadenia, ale aj pokuty, ktoré môžu mať nielen pre firmy likvidačné účinky.

SANKCIE PRI PORUŠENÍ GDPR

Nedodržanie povinností podľa GDPR môže byť potrestané pokutou až do výšky 20 miliónov EUR, prípadne až do výšky 4 % z celosvetového obratu spoločnosti za minulé účtovné obdobie, podľa toho, ktorá suma by pre podnikateľa bola vyššia.

ZODPOVEDNÁ OSOBA, DPO

Jednou z významných noviniek, ktoré GDPR prináša, je povinnosť pre vymedzené subjekty určiť tzv. zodpovednú osobu alebo DPO (Data Protection Officer), ktorá bude dohliadať na procesy súvisiace s ochranou osobných údajov. Bude teda akýmsi garantom zákonnosti postupov a zároveň kontaktom pre Úrad na ochranu osobných údajov. Zodpovednou osobou, DPO môže byť  zamestnanec prevádzkovateľa alebo tiež externý špecialista, fyzická alebo právnická osoba (špecialisti, špecializované spoločnosti, advokátske kancelárie), ktorá bude úlohy zodpovednej osoby plniť na základe zmluvy o poskytovaní služieb. Dobrou správou pre veľké spoločnosti je to, že skupina podnikov (materská spoločnosť s dcérskymi spoločnosťami) môže mať jednu zodpovednú osobu, ktorá ale musí splniť podmienku jednoduchej dostupnosti v rámci jednotlivých podnikov.

Povinnosť zabezpečiť zodpovednú osobu sa vzťahuje na:

  • orgány verejnej moci (ministerstvá, úrady, a pod.) a verejnoprávne subjekty (obce, školy, nemocnice, a pod.) s výnimkou súdov pri výkone ich právomocí,
  • prevádzkovateľov a sprostredkovateľov, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
  • prevádzkovateľov a sprostredkovateľov, ktorých hlavnou činnosťou je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky,
  • prevádzkovateľov, u ktorých to stanoví zvláštny právny predpis.