Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Bezpečnostný projekt a GDPR

Bezpečnostný projekt a GDPR
Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Povinnosť vypracovať bezpečnostný projekt síce skončila 25. 5. 2018, no po novom je potrebné posudzovať vplyv na ochranu osobných údajov. Aké nové administratívne povinnosti prinieslo nariadenie GDPR a čo hrozí v prípade ich porušenia?

Od 25. 5. 2018 platí v členských štátoch EÚ nové nariadenie vo veci ochrany osobných údajov - GDPR (General Data Protection Regulation). V podmienkach SR sa toto nariadenie premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od 25. 5. 2018, ktorý nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. Jedna zo zásadných zmien, ktorú GDPR prinieslo, sa dotkla aj bezpečnostných projektov.

Bezpečnostný projekt podľa starého zákona o ochrane osobných údajov

Predchádzajúca právna úprava ochrany osobných údajov účinná do 24. 5. 2018 ustanovovala ako jeden zo základných dokumentov tzv. bezpečnostný projekt informačného systému (ďalej len „bezpečnostný projekt“), ktorý vymedzoval rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Povinnosť mať vypracovaný bezpečnostný projekt bola v SR zakotvená už od roku 2002.

Prevádzkovateľ musel v bezpečnostnom projekte zdokumentovať všetky bezpečnostné opatrenia, t. j. primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov. Tieto museli byť v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je SR viazaná. Vyplývalo to z toho, že za bezpečnosť osobných údajov zodpovedal sám prevádzkovateľ, ktorý bol povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

Prevádzkovateľ musel mať vypracovaný bezpečnostný projekt v dvoch prípadoch, ktoré ustanovoval zákon:

  1. ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (internet) spracúval osobitné kategórie osobných údajov (napr. rodné číslo, biometrické údaje),
  2. ak informačný systém slúžil na zabezpečenie verejného záujmu.

Bezpečnostný projekt podľa GDPR - posúdenie vplyvu na ochranu osobných údajov

Vstupom GDPR do platnosti, t. j. od 25. 5. 2018, prevádzkovateľ už viac nemá povinnosť vypracúvať bezpečnostný projekt. Dôvodom je, že bezpečnostný projekt je vo svojej podstate podľa GDPR nepoužiteľný. Rovnako ani nový zákon o ochrane osobných údajov neupravuje túto povinnosť. GDPR zavádza nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú bude každý prevádzkovateľ sám zodpovedať.

GDPR nevyžaduje vypracovanie bezpečnostného projektu.

Avšak podľa čl. 35 GDPR je prevádzkovateľ povinný vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov - DPIA (Data Protection Impact Assessment), ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Prevádzkovateľ musí posúdiť vplyv spracovateľských operácii na ochranu osobných údajov ešte pred začatím spracúvania osobných údajov.

GDPR zaviedlo novú povinnosť – posúdenie vplyvu na ochranu údajov.

Jednoducho povedané, pôvodnú povinnosť vypracovania bezpečnostného projektu po novom nahradila povinnosť posúdenia vplyvu na ochranu osobných údajov. Tento nový právny inštitút, ktorý prináša GDPR, však rovnako predstavuje plnenie administratívnych povinností – spracovanie príslušnej bezpečnostnej dokumentácie (spracovanie procesu posúdenia vplyvu na ochranu osobných údajov).

Povinnosť vykonať a následne zdokumentovať vykonanie posúdenia vplyvu na ochranu osobných údajov má iba prevádzkovateľ. Ak je do spracúvania osobných údajov zahrnutý aj sprostredkovateľ, tento je povinný len pomáhať prevádzkovateľovi v procese prípravy posúdenia vplyvu na ochranu údajov, s prihliadnutím na povahu spracúvania a informácie dostupné prevádzkovateľovi. To znamená, že sprostredkovateľ nemusí spracovávať vlastnú dokumentáciu týkajúcu sa vykonávania posúdenia vplyvu na ochranu osobných údajov.

Vykonanie posúdenia vplyvu na ochranu údajov nie je povinné pre každú spracovateľskú operáciu. Vyžaduje len vtedy, keď spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. V praxi to znamená, že prevádzkovateľ musí stále posudzovať riziká vznikajúce v dôsledku ich spracovateľských činností, aby mohli identifikovať, keď určitý druh spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.

Posúdenie vplyvu na ochranu osobných údajov sa podľa GDPR vyžaduje najmä v prípadoch:

  1. systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania (tzv. automatizované profilovanie dotknutých osôb) a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu (napr. pri systémoch na obmedzenie prístupu k hazardu alebo generované žiadosti o pôžičku),
  2. spracúvania osobitných kategórií údajov (napr. rasa, zdravotné údaje) vo veľkom rozsahu,
  3. spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky (napr. odsudzujúce rozsudky),
  4. systematického monitorovania verejne prístupných miest vo veľkom rozsahu (napr. využívanie kamerových systémov v obchodných centrách).

Ďalšie prípady, pri ktorých prichádza do úvahy posúdenie vplyvu na ochranu osobných údajov:

  1. monitorovanie zamestnancov v práci (napr. sledovanie elektronickej pošty),
  2. vykonávanie cezhraničných prenosov dát obsahujúcich osobné údaje do krajín mimo EÚ,
  3. spracúvanie osobných údajov, ktoré zasahuje citlivé skupiny dotknutých osôb (napr. deti, pacientov).

GDPR teda vymedzuje len niektoré prípady, v ktorých je nutné vykonať posúdenie vplyvu na ochranu osobných údajov. Zoznam spracovateľských operácií, pri ktorých musí prevádzkovateľ posúdiť vplyv na ochranu osobných údajov vypracuje a zverejní Úrad na ochranu osobných údajov. Tiež môže stanoviť a zverejniť zoznam spracovateľských operácií, pri ktorých sa naopak posúdenie vplyvu na ochranu osobných údajov nevyžaduje. Slovenskí podnikatelia sa tak v konečnom dôsledku budú orientovať hlavne podľa týchto zverejnených zoznamov.

Článok pokračuje pod reklamou

Posúdenie vplyvu na ochranu osobných údajov musí podľa GDPR obsahovať aspoň:

  • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
  • posúdenie rizika pre práva a slobody dotknutých osôb a
  • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

V skratke, posúdenie vplyvu na ochranu osobných údajov má obsahovať najmä vyhodnotenie rizík z pohľadu zákazníka/klienta a jeho práv a tiež informácie o opatreniach prijatých zo strany prevádzkovateľa na elimináciu prípadných rizík.

Predchádzajúca konzultácia s Úradom na ochranu osobných údajov

Ak je z posúdenia vplyvu na ochranu osobných údajov zrejmé vysoké riziko pre práva fyzických osôb, má prevádzkovateľ ešte pred spracúvaním osobných údajov povinnosť konzultovať spôsoby spracúvania osobných údajov s Úradom na ochranu osobných údajov.

Čo hrozí pri porušení povinnosti posúdenia vplyvu na ochranu osobných údajov?

V najbližšej budúcnosti je možné očakávať, že povinnosť posúdenia vplyvu na ochranu osobných údajov bude zo strany Úradu na ochranu osobných údajov systematicky a cieľavedome kontrolovaná hlavne v tých oblastiach, ktorých sa bude táto povinnosť najviac týkať (napr. verejný sektor, elektronické komunikácie, cloudové služby a pod.).

Ak sa zistí porušenie povinnosti posúdenia vplyvu na ochranu osobných údajov v prípadoch, kedy ho treba vykonať alebo porušenie povinnosti konzultácie s úradom hrozia prevádzkovateľom sankcie – pokuty. Ich výška sa môže vyšplhať až do sumy 10 000 000 eur. Pokuty však majú byť primerané a odrádzajúce, nie likvidačné. Musia byť ukladané v závislosti od okolností každého jednotlivého prípadu.

Pri rozhodovaní o uložení pokuty a určení jej výšky bude úrad zohľadňovať napríklad:

  • povahu, závažnosť a trvanie porušenia,
  • povahu, rozsah alebo účel spracúvania osobných údajov,
  • počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
  • prípadné zavinenie porušenia ochrany osobných údajov,
  • opatrenia, ktoré prevádzkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
  • predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa,
  • mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov a ďalšie.

Za nevykonanie posúdenia vplyvu na ochranu údajov hrozia vysoké pokuty.

Bezpečnostný projekt vs. posúdenie vplyvu na ochranu osobných údajov

Najpodstatnejšie rozdiely medzi pôvodnoupovinnosťou vypracovania bezpečnostného projektu a novou povinnosťou posúdenia vplyvu na ochranu osobných údajov:

  • pri bezpečnostnom projekte bolo dôležité zameriavať sa na riziká pôsobiace na bezpečnosť a záujmy prevádzkovateľa, kým pri posúdení vplyvu na ochranu údajov je podstatné zameriavať sa na riziká pôsobiace na práva a slobody fyzických osôb,
  • minimálne obsahové náležitosti vyžadované pôvodným zákonom vo vzťahu k bezpečnostnému projektu sa odlišujú od minimálnych obsahových náležitostí na dokumentáciu týkajúcu sa posúdenia vplyvu na ochranu údajov stanovené v GDPR.

Zdôrazňujeme, že novo zavedenú povinnosť posúdenia vplyvu na ochranu osobných údajov podľa GDPR nemožno stotožňovať s pôvodnými bezpečnostnými projektmi, ani napriek identickej povinnosti prevádzkovateľa dokumentovať prijaté bezpečnostné opatrenia.

Niektoré prípady, v ktorých je nutné vykonať posúdenie vplyvu na ochranu údajov

Spôsob spracúvania údajov Kritéria spracúvania údajov Posúdenie vplyvu na ochranu údajov
zhromažďovanie údajov z verejných sociálnych médií za účelom vytvárania profilov spracúvajú sa citlivé údaje údaje sa spracúvajú vo veľkom rozsahu dochádza k spájaniu alebo kombinovaniu súborov údajov áno
podnikateľ systematicky monitoruje činnosti svojich zamestnancov (napr. ich počítače, činnosť na internete) spracúvajú sa citlivé údaje údaje sa spracúvajú vo veľkom rozsahu dochádza k spájaniu alebo kombinovaniu súborov údajov dochádza k hodnoteniu alebo prideľovaniu bodov áno
nemocnica spracúvajúca zdravotné údaje pacientov spracúvajú sa citlivé údaje údaje týkajúce sa zraniteľných dotknutých osôb údaje sa spracúvajú vo veľkom rozsahu áno

Viac o GDPR nájdete v diskusnej relácii Poďme k veci na tému GDPR - nový nový míľnik v ochrane súkromia alebo zbytočná byrokracia

Povinnosti podnikateľa Ochrana osobných údajov GDPR - ochrana osobných údajov

Viac podobných článkov nájdete na www.podnikajte.sk

Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Súvisiace témy

Národný program reforiem: na čo sa pripraviť?
Pripravované zmeny v legislatíve - Libuša Removčíková

Národný program reforiem: na čo sa pripraviť?

Návrat k eFaktúre, efektívnejšie plnenie daňových povinností, podpora inovácií či jednoduchšie zamestnávanie cudzincov. Súhrn opatrení, ktoré reagujú na odporúčania EÚ.
Otváracie hodiny počas veľkonočných sviatkov 2024
Zákonné povinnosti podnikateľa - Libuša Removčíková

Otváracie hodiny počas veľkonočných sviatkov 2024

Prehľad otváracej doby jednotlivých reťazcov počas Veľkej noci - od 29.3.2024 do 1.4.2024. Kto (ne)musí prevádzku zatvoriť?
Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?
Zákonné povinnosti podnikateľa - Libuša Removčíková

Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?

Kedy môže zväčšovať pery alebo vyhladzovať vrásky kozmetička a kedy to musí robiť lekár? Môže botox aplikovať zdravotná sestra? Čo hovorí zákon a kto kontroluje jeho dodržiavanie?
Povinnosti podnikateľa/účtovníka v januári 2024
Dane - Dominika Ružičková Kubišová

Povinnosti podnikateľa/účtovníka v januári 2024

Ukončenie roka so sebou prináša množstvo povinností. Čo všetko musia podnikatelia, príp. ich účtovníci stihnúť (spravidla) do 31. januára 2024?
Inšpirácia pre podnikanie
Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
Štart podnikania
Ako výhodne vybrať peniaze z s. r. o.? Voľná živnosť – ako ju založiť v roku 2024?
Dane a účtovníctvo
Základná náhrada za 1 km pri použití motorového vozidla od 1. 5. 2024 PN a nemocenské živnostníka v roku 2024
Financie ekonomika
Predčasný dôchodok od 15. 5. 2024 Schvaľovanie dôchodku: riziko výpadku príjmu a neplatenia odvodov
Manažment a marketing
Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ Nekalé praktiky a podvody pri obchodovaní s ázijskými firmami
Právo a legislatíva
Európska smernica o minimálnych mzdách: čo znamená pre Slovensko? Cestovné náhrady za spotrebované pohonné látky od 1.1.2025 (návrh)
To najlepšie z Podnikajte.sk do vašej schránky