Nový zákon o ochrane osobných údajov od 25.5.2018 - aké zmeny prináša?

Prehľad dôležitých zmien v oblasti ochrany osobných údajov od 25.5.2018.

Aký je vzťah medzi GDPR a novým zákonom o ochrane osobných údajov?

Dá sa povedať, že nový zákon o ochrane osobných údajov z veľkej časti len kopíruje európsku legislatívu, ktorá je nadriadená a priamo vykonateľná vo všetkých štátoch EÚ, pričom niektoré otázky sú slovenským zákonom rozvinuté do väčšej hĺbky. Z pohľadu bežného podnikateľa sú však najzásadnejšie zmeny upravené v oboch právnych predpisoch takmer rovnako.

10 rozdielov medzi starým zákonom č. 122/2013 Z. z. a novým zákonom o ochrane osobných údajov

Zmeny medzi starou a novou právnou úpravou možno zhrnúť hlavne do nasledovných 10 bodov:

1. Nový zákon rozširuje okruh tradičných osobných údajov (napr. meno a priezvisko) o nové typy údajov ako sú IP adresa alebo súbory cookies. Nový zákon zároveň bližšie vymedzuje osobitné kategórie osobných údajov, pričom rodné číslo do tejto kategórie už nebude spadať.
2. Nový zákon sprísňuje náležitosti súhlasu so spracovaním osobných údajov, ktorý musí byť konkrétny, slobodný, informovaný a jednoznačný. Prednastavené zaškrtnutie políčka pre udelenie súhlasu so spracovaním osobných údajov alebo viazanie tohto súhlasu na uzavretie zmluvy či prijatie obchodných podmienok preto nebude možné. Prevádzkovateľ musí byť navyše vždy schopný preukázať, že súhlas splňujúci vyššie uvedené podmienky bol skutočne udelený, preto sa odporúča používanie tzv. double-opt-in pri potvrdzovaní súhlasu.
3. Nový zákon už neupravuje povinnosť vypracovávať bezpečnostný projekt, povinnosť viesť evidenciu informačného systému alebo povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov. Namiesto toho sa zavádza povinnosť viesť záznamy o spracovateľských činnostiach (najmä u zamestnávateľov zamestnávajúcich aspoň 250 zamestnancov) a povinnosť vykonať tzv. posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov, ktorá je prakticky len veľmi ťažko uchopiteľná.
4. Nový zákon zavádza dotknutým osobám právo požadovať transfer osobných údajov v štruktúrovanej podobe od jedného prevádzkovateľa k inému (napr. cez rozhranie API alebo úložisko údajov).
5. Nový zákon v určitých prípadoch sprísňuje možnosti spracúvania osobných údajov detí do 16 rokov, ku ktorému sa vyžaduje súhlas zákonného zástupcu (tzv. rodičovský súhlas so spracúvaním osobných údajov).
6. Nový zákon zavádza povinnosť ustanoviť tzv. zodpovednú osobu na ochranu osobných údajov (namiesto doterajšieho dobrovoľného poverenia) v zákonom stanovených prípadoch. Po novom sa mení tiež postavenie a kompetencie zodpovednej osoby.
7. Nový zákon o ochrane osobných údajov sprísňuje povinnosť vymazať osobné údaje na žiadosť dotknutej osoby, a to tak, že pri splnení zákonom stanovených podmienok musia byť jej osobné údaje vymazané nielen u prevádzkovateľa, ale aj u ďalších subjektov, ktoré tieto údaje spracúvajú.
8. Nový zákon upravuje formu a náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, a o tak, že do zmluvy pribudne minimálne 9 nových povinností, resp. prehlásení sprostredkovateľa.
9. Nový zákon zavádza povinnosť nahlasovať bezpečnostné incidenty (strata či krádež údajov) Úradu na ochranu osobných údajov do 72 hodín od zistenia incidentu.
10. Nový zákon zavádza prísnejšie pokuty za porušenie povinností spojených so spracúvaním a ochranou osobných údajov, a to až do výšky 20 000 000 EUR alebo do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok.

Ako sa na nový zákon o ochrane osobných údajov a GDPR pripraviť?

Každý, kto spracúva osobné údaje, by mal s dostatočným predstihom zanalyzovať zaužívané postupy a používané dokumenty. Za týmto účelom sa odporúča dôsledná konzultácia s odborníkom, ktorý pre podnikateľa spracuje komplexný audit ochrany osobných údajov a navrhne potrebné opatrenia a zmeny v postupoch či dokumentoch, napr. v dokumentáciách kamerových systémoch, zmluvách, obchodných podmienkach a iných.

Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.