Snežienkova 1/A, 971 01 Prievidza
SK
CS

Čo prinesie nový zákon o ochrane osobných údajov

KATEGÓRIA

Nový zákon o ochrane osobných údajov

Od 25.5 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov, ktorý bude zohľadňovať požiadavky nariadenia Európskeho parlamentu  a Rady EÚ, inak nazvaný aj GDPR (General Data Protection Regulation). Prináša veľké zmeny a podnikateľov čakajú nové povinnosti, za ktoré v prípade neplnenia hrozia likvidačné pokuty.

 

Koho sa nový zákon bude týkať:

  • Všetci podnikatelia, ktorí spracovávajú osobné údaje ( osobné údaje zamestnancov alebo zákazníkov)
  • Sprostredkovatelia, ktorí spracovávajú osobné údaje iných organizácií ( účtovníci, právnici, informatici, reklamné agentúry, …)

 

Čo spadá do pojmu osobný údaj:

Osobný údaj je informácia, ktorá priamo alebo nepriamo identifikuje konkrétnu fyzickú osobu (napr. Meno a priezvisko, rodné číslo, číslo občianskeho preukazu alebo pasu). Čo sa týka emailu alebo telefónneho čísla je to zložitejšie. Záleží, či sa dá priamo spojiť s konkrétnou osobou (všeobecné telefónne čísla do organizácií alebo všeobecné emaily do kategórie osobných údajov nespadajú). Ďalšie typy osobných údajov:

  • fotografia,
  • otlačok prsta, prípadne iné biometrické údaje
  • hlas,
  • číslo účtu,
  • lokalizačné údaje.

 

10 hlavných zmien v novom zákone o ochrane osobných údajov:

 

Oznamovacia povinnosť porušenia ochrany osobných údajov:

Porušenie osobných údajov podľa GDPR znamená porušenie bezpečnosti, ktorá vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neopravnému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracovávajú, alebo neoprávnený prístup k nim.  Tento incident je potrebné nahlásiť do 72 hodín od zistenia úradu na ochranu osobných údajov SR.

Je možnosť vyhnúť sa informovaniu dotknutých jednotlivcov zavedením primeraných bezpečnostných opatrení.

 

Zodpovedná osoba

V prípade, ak organizácia nemá určenú zodpovednú osobu, má povinnosť informovať Úrad na ochranu osobných údajov SR o systémoch obsahujúce osobné údaje (napr. newsletter).

Organizácie si môžu zabezpečiť zodpovednú osobu aj prostredníctvom právnickej osoby. Tým sa organizácia vyhne čiastočnej byrokracií.

Zodpovednú osobu musia mať nasledovné inštitúcie:

  • Orgány verejnej moci alebo verejnoprávne subjekty za predpokladu, že vykonávajú spracúvanie osobných údajov.
  • Firmy, ktorých hlavnou činnosťou sú spracovateľské operácie, vyžadujúce pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
  • Firmy, spracovávajúce osobitné kategórie údajov ako biometrické údaje, údaje o pôvode, náboženstve, orientácií a pod., vo veľkom rozsahu alebo spracúva osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

Zvýšenie pokút

Maximálna výška pokuty bude 20 miliónov eur, prípadne 4% celosvetového firemného obratu z predchádzajúceho roku, podľa toho, ktorá pokuta je vyššia. Okrem finančnej pokuty môže byť nariadené aj výmaz osobných údajov, zákaz spracovávania, oznámenie porušenia ochrany osobných údajov dotknutej osobe alebo pozastavenie toku údajov príjemcovi v tretej krajine.

 
Prísnejšie požiadavky na udelenie súhlasu pri spracovaní osobných údajov.

Súhlas musí byť poskytnutý jasným prejavom vôle, s jednoznačným vyjadrením súhlasu dotknutej osoby so spracovaním osobných údajov. Tento súhlas je nutné vedieť preukázať v prípade potreby.

 
Užívateľ má právo na vymazanie (právo byť zabudnutý)

V prípade, ak užívateľ požiada o vymazanie svojich údajov, musí poskytovateľ posúdiť, či je jeho požiadavka vhodná ( napr. ak boli získane nezákonne, údaje sa nepoužívajú na správny účel, nebol poskytnutý rodičovský súhlas). Ak je požiadavka vhodná má poskytovateľ mesiac na vymazanie údajov ( v zložitých prípadoch 3 mesiace). Okrem toho musí poskytovateľ informovať aj iných spracovávateľov, ktorí tieto údaje spracovávajú. V prípade ale ak by sa jednalo o veľmi finančne a technicky náročný proces nemusí sa tejto požiadavke vyhovieť.

 
Súkromie ako štandard

Ochrana súkromia musí byť komplexne zvažovaná už pri návrhu nových projektov. Prevádzkovateľ musí určiť primerané technické a organizačné opatrenia pre každú formu spracovania. Všetky nové projekty z hľadiska IT by mali byť šifrované, mali by sa vytvárať pravidelné zálohy a hlavne by sa malo dopredu určiť, ktoré informácie sú nevyhnutné a ktoré nie.

 
Prenosnosť údajov

Užívateľ bude môcť požiadať o prenos údajov od svojho pôvodného prevádzkovateľa k novému. Pôvodný prevádzkovateľ bude musieť jeho žiadosti vyhovieť a preniesť údaje v čo najkratšiu dobu (maximálne 1 mesiac) a bezplatne (jedná sa napríklad o presun emailov od jedného prevádzkovateľa k druhému). Žiadosť ale musí byť primeraná a opodstatnená. Transfer musí byť samozrejme zabezpečený, inak hrozí únik dát, incident a pokuta.

 
Nové požiadavky pre zmluvu so sprostredkovateľom

Pre sprostredkovateľov ( napr. účtovníci, právnici) pribudne nová povinnosť prepracovať zmluvy, tak aby zahŕňali:

  • že sú implementované primerané bezpečnostné opatrenia na ochranu osobných údajov
  • že v prípade subdodávok ostáva sprostredkovateľ zodpovedný za ochranu údajov
  • záväzok, že v prípade ukončenia spolupráce všetky osobné údaje vymaže alebo vráti používateľovi
  • záväzok, že poskytne prevádzkovateľovi všetky informácie o plnení povinností GDPR a umožní vykonanie prípadného auditu.

Je odporúčané aby sprostredkovatelia nasadili šifrovanie, antivírusovú ochranu a aby používali zabezpečenú komunikáciu.

 
Pravidlo „one-stop-shop“

Pravidlo, ktoré sa týka poskytovateľov, ktorí fungujú vo viacerých štátoch. GDPR určuje, kto rieši dozor nad danou spoločnosťou – vedúce dozorné orgány a vedúce orgány. Vedúci dozorný orgán na Slovensku je Úrad na ochranu osobných údajov SR.

 
Medzinárodné prenosy dát

GDPR zásadne nemení byrokraciu, ktorá je spojená s prenosom osobných údajov mimo územia Európskej únie. Podľa cieľovej krajiny kam osobné údaje putujú bude potrebné podpisovať rôzne mnohostranové zmluvy a dohody.

 

Nasledujúci článok: 

„ Aké sú možnosti spoločností splniť požiadavky GDPR?“

 

ZDROJE:

www.eset.sk

Nariadenie Európskeho parlamentu a rady (EÚ) 2016/679

Podobné články

Ako zastaviť korupciu?

Ako zastaviť korupciu?

KATEGÓRIA

Pokiaľ zamestnanec počas práce zistí nejakú protizákonnú činnosť mal by takúto činnosť v dobrej viere nahlásiť svojmu zamestnávateľovi. Ako funguje systém nahlasovania? Je zamestnanec dostatočne chránený? Existuje bezpečný systém nahlasovania? Viac v našom článku.

Zobraziť viac
Dá sa zvýšiť spokojnosť zákazníkov pomocou ISO 9001:2015?

Dá sa zvýšiť spokojnosť zákazníkov pomocou ISO 9001:2015?

KATEGÓRIA

Aj keď organizácia zaznamenáva rast vďaka spokojnej zákazníckej základni, môže byť náročné takúto úroveň udržať napríklad aj v dôsledku neustáleho rozširovania. Presne v takomto prípade vie veľmi pomôcť kvalitná implementácia systému manažérstva kvality podľa normy ISO 9001:2015.

Zobraziť viac
Vyšla norma ISO/IEC 27001:2022! Čo môžeme očakávať od novej revízie ISO/IEC 27001?

Vyšla norma ISO/IEC 27001:2022! Čo môžeme očakávať od novej revízie ISO/IEC 27001?

KATEGÓRIA

25. októbra 2022 vyšla nová verzia ISO/IEC 27001:2022! (aktuálna verzia bola publikovaná v roku 2013). Organizácie, ktoré sa zameriavajú na systematický prístup k riadeniu informačnej bezpečnosti, už iste zaregistrovali túto novinku. ISO/IEC 27002 je opäť navrhnutá tak, aby poskytovala rámec pre riadenie bezpečnosti informácií (podobne ako, napríklad: NIST CSF).

Zobraziť viac
Čo je integrovaný systém manažérstva?

Čo je integrovaný systém manažérstva?

KATEGÓRIA

Tento článok je venovaný spoločnostiam, ktoré by chceli zavádzať štandardy ISO a nie sú pevne rozhodnuté akým smerom sa chcú vybrať. Predpokladajme, že chcete svoju organizáciu certifikovať podľa viacerých štandardov ISO. Alebo je vaša organizácia už certifikovaná podľa jednej normy ISO a chcete dosiahnuť certifikáciu viacerých systémov manažérstva.

Zobraziť viac

Newsletter