Nový zákon o ochrane osobných údajov zvýši náklady a byrokratické povinnosti takmer každej firmy

Michal Vojtyla | 05.07.2017
Nový zákon o ochrane osobných údajov zvýši náklady a byrokratické povinnosti takmer každej firmy

GDPR, nariadenie Európskeho parlamentu a Rady (EÚ) prináša veľké zmeny vo viacerých oblastiach ochrany osobných údajov v celej EÚ. Podnikateľov čakajú nové povinnosti, zmeny dokumentov a úpravy procesov. Za ignorovanie zákona hrozia likvidačné pokuty!

V súčasnosti sa na Slovensku pripravuje nový zákon o ochrane osobných údajov, ktorý bude zohľadňovať požiadavky nariadenia GDPR - General Data Protection Regulation a bude účinný od 25. mája 2018. Týkať sa bude všetkých podnikateľov, ktorí spracovávajú osobné údaje. Nezáleží, či ide o osobné údaje zamestnancov alebo zákazníkov. Viacero povinností pribudne aj tzv. sprostredkovateľom, teda firmám, ktoré spracovávajú osobné údaje iných firiem (účtovníci, právnici, informatici, reklamné agentúry a iné).

Čo všetko považujeme za osobný údaj

GDPR považuje za osobný údaj také informácie, ktorými možno priamo alebo nepriamo identifikovať konkrétnu fyzickú osobu. Typicky sú osobnými údajmi meno a priezvisko, rodné číslo, číslo občianskeho preukazu. Niektoré údaje ako e-mail a telefónne číslo, môžu, ale aj nemusia byť osobnými údajmi. Záleží na tom, či sa na základe nich, či ich kombinácie dá priamo alebo nepriamo (pomocou tretej osoby) zistiť, o akú osobu ide. Obdobne to platí pri telefónnom čísle.

PRÍKLAD: Za osobný údaj nepovažujeme e-mailovú adresu info@vojtyla.sk nakoľko nevieme povedať, kto tento mail používa. Nevieme priamo identifikovať fyzickú osobu. Opakom je e-mailová adresa michal.vojtyla@vojtyla.sk.

Do kategórie osobných údajov patria aj rôzne pseudononymizované údaje, pri ktorých existuje možnosť identifikácie osoby prostredníctvom tretích osôb. Ďalšími osobnými údajmi môže byť:

  • Fotografia,
  • Odtlačok prsta,
  • Hlas,
  • Číslo účtu,
  • Lokalizačné údaje.

INFO: Telefónne číslo môžeme zaradiť medzi osobné údaje. Ak však operátor poskytne agregované údaje založená na polohe SIM kariet v mobilných zariadeniach, tieto údaje už nie sú osobné. Agregované údaje už nespadajú do kategórie osobných údajov.

10 významných zmien v novom zákone o ochrane osobných údajov

Rapídne zvýšenie pokút

Nová maximálna pokuta, ktorú bude možne udeliť bude 20 miliónov eur, resp. 4% celosvetového firemného obratu z predchádzajúceho roka (pri pokute sa berie vyššia suma). Aby toho nebolo málo, okrem finančnej pokuty možno udeliť aj nefinančné pokuty a to, nariadenie na výmaz osobných údajov, informovanie dotknutej osoby, zákaz spracovania údajov a pod.

Prísnejšie požiadavky na udelenie súhlasu pri spracovaných osobných údajov

Z dôvodu rozšírenia definície osobného údaju bude náročnejšie získať súhlas na spracovanie údajov. Súhlas musí byť konkrétny, slobodný, informovaný a jednoznačný. Tento súhlas je nutné vedieť preukázať v prípade potreby. V prípade formulárov na webových stránkach možno implementovať zaškrtávacie políčko. Bez jeho zaškrtnutia by nemalo byť možne odoslať formulár. Pozor, políčko nemôže byť automaticky zaškrtnuté! Pri zbere e-mailových adries je potrebné posielať potvrdzujúci e-mail na overenie súhlasu. Osoba, ktorá uviedla súhlas, musí mať možnosť kedykoľvek odvolať svoj súhlas. O tejto skutočnosti musí byť informovaná pred udelením súhlasu. Odvolanie súhlasu musí byť rovnako jednoduché ako jeho udelenie. Po novom by mal byť implementovaný formulár na zrušenie súhlasu so spracovaním osobných údajov. Ak vaše súhlasy nebudú spĺňať požiadavky GDPR, bude potrebné ich získať opätovne.

Právo byť zabudnutý (vymazaný)

V súčasnosti pozná zákon o ochrane osobných údajov pojem právo na výmaz. Po novom bude toto právo upravené detailnejšie. To predstavuje zlú správu pre prevádzkovateľov webov, ktorí takéto údaje zbierajú. Keď užívateľ požiada o výmaz, poskytovateľ musí posúdiť oprávnenosť žiadosti. Ak sú splnené všetky podmienky na výmaz, musí vymazať tieto dáta nielen on, ale musí o tejto žiadosti informovať aj iných spracovávateľov, ktorí tieto údaje spracúvajú. Našťastie sa nezabudlo na zdravý rozum a existuje výnimka primeranosti, ktorá hovorí, že nie je nutné vyhovieť tejto žiadosti, ak by to bolo finančne alebo technicky náročné.

PRÍKLAD: Ak zákazník požiada o výmaz z CRM systému a budú splnené všetky podmienky na výmaz, je firma povinná tieto údaje vymazať bez zbytočného zdržiavania. Firma nebude musieť vymazávať dáta uložené v zálohách v prípade, že bude vedieť dokázať technickú a časovú zložitosť tohto úkonu. Viac o CRM sa dozviete v článkoch zvýšte svoje tržby pomocou systému na riadenie vzťahov so zákazníkmi a veľké porovnanie CRM systémov na riadenie vzťahov so zákazníkmi.

Vzniká povinnosť na výmaz Nevzniká povinnosť na výmaz
Osobné údaje boli spracované protiprávne Údaje majú byť zo svojho charakteru verejné
Údaje už nie sú potrebné na účel, na ktorý boli poskytnuté Obmedzila by sa sloboda prejavu
Nebol poskytnutý rodičovský súhlas (platí pre deti) Obmedzilo by sa právo na informácie
Jednotlivec odvolal súhlas  

Súkromie ako štandard

Nová povinnosť hovorí o potrebe ochrany osobných údajov už pri návrhu nových projektov. Firmy by mali zvážiť, aké údaje a na ako dlho ich potrebujú a či ich nie je možné pseudonymizovať (úprava dát, pri ktorej nie je možné zistiť konkrétne informácie bez dodatočnej pomocnej informácie). Bude potrebné vypracovať dokument o dopade na osobné údaje. V dokumente by mali byť uvedené aj scenáre rôznych prípadov.

INFO: Z hľadiska IT sa súkromie berie veľmi vážne. Všetky nové projekty by mali štandardne komunikovať šifrovane, mali by vytvárať zabezpečené zálohy a prístup k dátam by mal mať iba ten, kto ho naozaj potrebuje. Silným argumentom bezpečnosti je aj pravidelná edukácia zamestnancov.

Upravená povinnosť oznamovania porušenia ochrany osobných údajov

V súčasnosti nemajú firmy povinnosť informovať o incidentoch (strata, krádež údajov) súvisiacich s porušením osobných údajov. Po novom bude potrebné nahlasovať všetky incidenty dozornému orgánu (Úrad na ochranu osobných údajov SR) do 72 hodín od zistenia incidentu. V najzávažnejších prípadoch je prevádzkovateľ a sprostredkovateľ povinný informovať aj dotknutých jednotlivcov. Musí to urobiť zrozumiteľnou a jednoduchou terminológiou. Existuje však možnosť ako sa vyhnúť informovaniu dotknutých jednotlivcov. Stačí implementovať primerané bezpečnostné opatrenia, typicky šifrovanie. Tým splníte viacero požiadaviek GDPR a zvýšite bezpečnosť vo firme.

Osobné údaje a zodpovedná osoba

Firma môže mať už aj v súčasnosti určenú zodpovednú osobu. Vyhne sa tým povinnosti informovať Úrad na ochranu osobných údajov SR, o systémoch obsahujúcich osobné údaje. Tu patria napríklad aj systémy na zbieranie a ukladanie e-mailových adries na posielanie noviniek, tzv. newsletter.

Povinne musia mať určenú zodpovednú osobu nasledovné subjekty:

  • Orgány verejnej moci alebo verejnoprávne subjekty za predpokladu, že vykonávajú spracúvanie osobných údajov.
  • Firmy, ktorých hlavnou činnosťou sú spracovateľské operácie, vyžadujúce pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
  • Firmy, spracovávajúce osobitné kategórie údajov ako biometrické údaje, údaje o pôvode, náboženstve, orientácií a pod., vo veľkom rozsahu alebo spracúva osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

GDPR dovoľuje firmám nominovať za zodpovednú osobu aj právnickú osobu (právnická osoba i naďalej musí stanoviť konkrétnu fyzickú osobu). Tým sa podnikateľ vyhne čiastočnej byrokracii. Zodpovednosť za plnenie povinností vyplývajúcich z GDPR a zákona stále nesie samotná firma a nie zodpovedná osoba. Zodpovedná osoba má mať zverejnené kontaktné informácie na dostupnom mieste, ideálne na webovej stránke. Na zachovanie princípu autonómnosti práce tejto osoby, nie je možné uvádzať ako telefonický kontakt všeobecné firemné číslo, typicky spojovateľku, sekretárku. Rovnaký princíp platí pre e-mailovú adresu. Adresa info@nazovfirmy.sk nie je vhodná.

Prenosnosť údajov

Administratívne náročnou povinnosťou bude prenos údajov od jedného prevádzkovateľa ku druhému. Dotknutá osoba môže požiadať o transfer osobných údajov a prevádzkovateľ to musí zabezpečiť bez odkladu, zadarmo, bezpečne a ešte aj v čitateľnej a štruktúrovanej podobe. Prevádzkovateľ musí jednotlivca o tejto skutočnosti informovať. Typickým prípadom kedy môže jednotlivec požiadať o prenos údajov je uzatvorenie účtu. To by z technického hľadiska nemal byť v súčasnosti problém. Mnohé systémy disponujú možnosťou importu a exportu dát.

POZOR: Transfer údajov je potrebné vykonať zabezpečene. V opačnom prípade hrozí únik dát, povinnosť nahlasovať incident a pokuta.

Prísnejšie pravidlá pre sprostredkovateľov

Veľká zmena čaká všetkých sprostredkovateľov, ktorí spracúvajú osobné údaje pre svojich klientov. Typicky ide o účtovníkov, právnikov a iné firmy, vykonávajúce externú činnosť pre našu firmu (za podmienky spracúvania osobných údajov). Od konca mája 2018 budú mať sprostredkovatelia viacero povinností, napr.:

  • Upraviť zmluvu s prevádzkovateľom.
  • Implementovať primerané bezpečnostné opatrenia ako pseudonymizácia a šifrovanie.
  • Viesť zoznam spracovateľských operácií pre konkrétneho klienta.
  • Nutnosť informovať prevádzkovateľa v prípade porušenia osobných údajov.

INFO: Odporúčame nasadiť šifrovanie, antivírusovú ochranu a používať všade zabezpečenú komunikáciu. To platí hlavne pri e-mailoch. Veľa spoločností sa pripája zo svojho zariadenia na e-mailový server nezabezpečene. Bez akéhokoľvek šifrovania. V tom prípade sú všetky dáta prenášané po sieti v čitateľnej podobe.

Transfer osobných údajov do zahraničia

Prenos do zahraničia zahŕňa širokú množinu prípadov od posielania databáz s osobnými údajmi cez zdieľanie citlivého dokumentu kolegovi do Afriky až po udelenie prístupu do interného systému technickej podpore z Indie. Podľa cieľovej krajiny je potrebné podpisovať rôzne, niekoľkostranové zmluvy a dohody.

Pravidlo „one-stop-shop“

Toto pravidlo sa týka prevádzkovateľov, resp. poskytovateľov, pôsobiacich vo viacerých krajinách. Podstata pravidla je v tom, kto rieši dozor nad danou spoločnosťou. GDPR pozná vedúci orgán a dotknuté dozorné orgány. Vedúci orgán má skôr koordinačnú úlohu a rieši najzložitejšie prípady. Spravidla sa bude nachádzať v štáte, v ktorom má spoločnosť hlavné sídlo. Dotknutých dozorných orgánov je viac. Sú to dozorné orgány každej krajiny. Na území SR to je Úrad na ochranu osobných údajov SR.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy: