Pozor! Veľké zmeny v ochrane osobných údajov
GDPR /General Data Protection Regulation/ sú 4 písmená, pred ktorými by sa mal mať na pozore každý podnikateľ a pripraviť sa na to, že 25.5.2018 je deň, kedy musia byť tieto nové všeobecné pravidlá ochrany osobných údajov zavedené v celom európskom priestore.
Rok odkedy boli tieto pravidlá (nariadenie a smernica) schválené už uplynul. Je potrebné položiť si otázku, čo už ste stihli za ten rok urobiť? Ak nič alebo len málo treba si vyhrnúť rukávy – nachádzame sa v polovici času, ktorý máme k dispozícii na zavedenie všetkých noviniek – ostáva už len necelý rok.
Nová regulácia GDPR sa týka všetkých spoločností, ktoré spracovávajú osobné údaje, teda údaje na základe ktorých je možné identifikovať konkrétnu osobu. Nemusí to byť len meno, priezvisko, dátum narodenia a iné ktoré vás hneď napadnú, ale napríklad aj Ferko z vedľajšieho vchodu je osobný údaj, ak v ňom býva len jeden Ferko. Do ochrany osobných údajov budú po novom spadať aj psedonymizované (kódované) údaje, ak existuje pravdepodobnosť dohľadania identifikovania konkrétnej osoby.
Nariadenie sa dotkne každého, kto zhromažďuje alebo spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo územia EÚ, ktoré pôsobia na európskom trhu.
Aké sú teda konkrétne zmeny a ako bude aplikované do slovenskej legislatívy?
V prvom rade je potrebné povedať, že sa pripravuje úplne nový zákon, ktorý kompletne a komplexne nahradí do toho času účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Podľa najnovších informácií by mal byť nový zákon publikovaný 1.1.2018 a účinný od dňa GDPR, teda od 25.5.2018. Keďže doň bude musieť byť zapracovaná európska legislatíva, väčšinu zmien vieme presne pomenovať už teraz.
- Upravené výšky pokút – priam do astronomických výšok - maximálna pokuta môže byť uložená až do výšky 20 miliónov € alebo do výšky 4 % celkového ročného obratu podniku, za každé porušenie povinností pri ochrane osobných údajov.
- Bezpečnostný projekt nahrádza dokument Posúdenie vplyvu na ochranu osobných údajov.
- Nariadenie zavádza nové definície pojmov súvisiace s ochranou osobných údajov (napríklad pseudonymizácia, profilovanie, genetický údaj, skupina podnikov...).
- Novou právnou úpravou sa bližšie určujú podmienky súhlasu dotknutej osoby so spracúvaním osobných údajov - súhlas by mal byť jasným prejavom vôle, mal by byť daný na konkrétny účel, ak je účelov viac, treba ich zrozumiteľne definovať....
- Zavádzajú sa nové práva dotknutých osôb - upravuje právo na prenosnosť osobných údajov, zavádza právo byť informovaný, právo na opravu nesprávnych osobných údajov, právo namietať, právo na obmedzenie spracúvania, či právo byť vymazaný.
- Nastávajú zmeny v povinnostiach zodpovednej osoby a zmeny pri jej vymenovaní.
- Zavádza sa nová a zvýšená ochrana osobných údajov detí (potrebný súhlas rodičov, pričom vek dokedy je tento súhlas potrebný budú môcť štáty v rámci vymedzeného rozpätia upraviť).
- Vznikajú nové oznamovacie povinnosti voči dotknutým osobám a inštitúciám (napríklad hlásenie incidentov do 72 hodín).
- Upúšťa sa od oznamovacej a registračnej povinnosti - podľa novej úpravy ochrany osobných údajov bude evidenčná povinnosť nahradená vedením záznamov.
- Prijali sa opatrenia na obmedzenie automatizovaného individuálneho rozhodovania vrátane profilovania, napríklad profilovania zákazníkov podľa príjmu, bydliska a pod.
Radi by sme povedali, že toto sú všetky zmeny nanešťastie je ich oveľa viac. V prípade, že sa v nových pravidlách a povinnostiach neviete zorientovať, radi vám poskytneme bližšie informácie, či pomôžeme nové pravidlá implementovať vo vašej spoločnosti, aby ste boli s GDPR „with compliance“ - v súlade.