Ochrana osobných údajov GDPR - európskeho nariadenia č. 2016/679

Ochrana osobných údajov príde do platnosti od 25.5.2018 podľa GDPR - európskeho nariadenia č. 2016/679. Ste prípravení? Načo sa musia podnikatelia pripraviť?

Povedzme si vlastne, čo je to GDPR:

GDPR (General Data Protection Regulation) je európske nariadenie zavádzajúce jednotné pravidlá v oblasti ochrany osobných údajov, ktoré od 25.5.2018 začnú platiť vo všetkých členských štátoch EÚ v rátane Slovenska.

Nariadenie č. 2016/679 (GDPR) je pomerne rozsiahle, medzi hlavné zmeny, ktoré podnikateľov ovplyvnia najviac sú:

  • Okruh osobných údajov sa podľa GDPR rozšíri o údaje technického charakteru - zaraďujeme sem napr. meno, priezvisko a adresu zákazníka, v určitých prípadoch tiež email či telefónne číslo, bude od 25.5.2018 rozšírený o ďalšie údaje technického charakteru, akými sú IP adresa alebo súbory cookies.
  • sprísnejšie pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov - súhlas musí byť podľa GDPR konkrétny, slobodný, informovaný a jednoznačný (t.j. nemôže byť súčasťou obchodných podmienok), pričom podnikateľ musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený, napr. s využitím tzv. double-opt-in metódy. Zároveň platí, že odvolanie súhlasu so spracovaním osobných údajov by malo byť rovnako jednoduché ako jeho získanie.
  • sprísnené podmienky pre spracúvanie osobných údajov osoby mladšie ako 16 rokov - GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak k tomu udelil súhlas jej zákonný zástupca. Keďže overenie veku návštevníka webovej stránky je prakticky nemožné, text pri zaškrtávacom políčku pre udelenie súhlasu so spracovaním osobných údajov by mal v záujme prevádzkovateľa webovej stránky obsahovať aspoň doplňujúcu vetu typu: „Prehlasujem, že ak mám menej ako 16 rokov, tak som požiadal svojho zákonného zástupcu (rodiča) o súhlas so spracovaním mojich osobných údajov.“ Iné riešenie pre overenie získania rodičovského súhlasu so spracúvanímosobných údajov je len ťažko predstaviteľne. Mnohí prevádzkovatelia budú zároveň dopĺňať svoje obchodné podmienky o oznámenie typu: „Naše služby nie sú určené pre osoby mladšie než16 rokov", čím sa povinnosti overovania rodičovského súdhlasu úplne vyhnú.
  • povinnosť ustanoviť tzv. zodpovednú osobu (DPO, Data Protection Officer) - Podnikatelia, ktorí systematicky, pravidelne a vo veľkom rozsahu monitorujú dotknuté osoby (napr. pri retargetingu a rôznych formách behaviorálnej reklamy), musia podľa GDPR ustanoviť zodpovednú osobu, ktorá bude mať na starosti kontrolu postupov pri spracúvaní osobných údajov, poskytovanie informácií či spoluprácu s Úradom na ochranu osobných údajov.
  • povinnosť viesť záznamy o spracúvaní osobných údajov - podnikateľ, ktorý zamestnáva minimálne 250 zamestnancov, prípadne podnikateľ s menej než 250 zamestnancami, ktorý spracúva osobné údaje pravidelne (napr. eshop) alebo spracúva osobné údaje zvláštnej kategórie, musí podľa GDPR viesť záznamy o spracúvaní osobných údajov, napríklad formou prevádzkového denníku, do ktorého budú zapisované všetky dôležité informácie (napr. o prijatých technických opatreniach, o rozsahu a účelu spracúvania osobných údajov alebo ich prenosoch do tretích krajín). 
  • povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov ako i dotknutým osobám - podnikatelia (v postavení prevádzkovateľov aj sprostredkovateľov) budú po novom povinní nahlásiť Úradu na ochranu osobných údajov každé podstatnejšie narušenie či únik osobných údajov, a to najneskôr do 72 hodín od zistenia takéhoto bezpečnostného incidentu. Podnikateľ bude povinný kontaktovať aj samotné dotknuté osoby, ktorých údaje môžu byť ohrozené.
  • podnikatelia budú povinní vykonať analýzu vplyvov na ochranu osobných údajov (DPIA, Data Protection Impact Assessment) a konzultovať svoju činnosť s Úradom na ochranu osobných údajov - V prípadoch, kedy určitý druh spracúvania osobných údajov môže predstavovať vysoké riziko pre práva a slobody fyzických osôb, podnikatelia budú povinní vykonať analýzu vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov 
  • dotknuté osoby budú mať podľa GDPR právo byť vymazané alebo úplne zabudnuté - ak fyzická osoba požiada o výmaz svojich osobných údajov, podnikateľ bude povinný takejto žiadosti vyhovieť
  • dotknuté osoby budú mať podľa GDPR právo na prenos svojich osobných údajov - Každá fyzická osoba bude mať po novom právo na bezplatné získanie svojich osobných údajov, ktoré sama poskytla prevádzkovateľovi, a tieto údaje následne odovzdať inému prevádzkovateľovi.


Diskusia k článku

Ďalšie články z informačných technológií