Hľadaj

GDPR: Množstvo nových povinností pre firmy, aj vysoké pokuty

2 Ekonomika Poslať

GDPR nahrádza viac ako dvadsať rokov starú smernicu, ktorá vznikala v podmienkach relatívne obmedzeného kybernetického sveta. GDPR preto modernejšie definuje, čo je osobný údaj, zahŕňa aj online identifikátory, teda IP adresy či identifikačné čísla zariadení (UDID).

Nové pravidlá do platnosti vstúpia 25. mája 2018. Výrazne sa posilní pozícia dotknutých osôb, teda ľudí, ktorých údaje sa spracovávajú. Pre subjekty, ktoré údaje spracovávajú, to znamená množstvo nových povinností.

 

Novinkou, ktorú GDPR zavádza, je pseudonymizácia údajov a profilovanie. Táto perspektíva starej norme úplne chýbala. Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií. Zároveň sa však takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.

 

 

Ďalším princípom, na ktorom bude stáť nový systém ochrany osobných údajov, je minimalizácia údajov. Spoločnosti budú môcť spracovávať len také údaje, ktoré nevyhnutne potrebujú k svojej činnosti.

 

„Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov.“

 

Popri tejto zmene upravuje GDPR aj profilovanie. Ide o akúkoľvek formu automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby. Za profilovanie sa teda považuje analýza údajov, ktorá vedie napríklad k predvídaniu pracovných návykov, správania, majetkových pomerov či záujmov. 

 

Zásadný dôraz kladie nová legislatíva na globálnu ochranu občanov EÚ. Nariadenie platí pre spoločnosti, ktoré predávajú tovary a služby, tiež pre spoločnosti, ktoré monitorujú správanie.

 

Nové pravidlá sa vzťahujú na spracúvanie osobných údajov v rámci EÚ, a to bez ohľadu na to, či sa spracúvanie vykonáva v EÚ, alebo nie. Pracovať s údajmi v súlade s GDPR musia aj subjekty, ktoré nie sú usadené v EÚ, ale dotknuté osoby sa nachádzajú v EÚ.

 

Nariadenie preto musia dodržiavať aj zahraničné subjekty, ktoré monitorujú správanie subjektov v EÚ, prípadne ponúkajú platené aj bezplatné tovary a služby rezidentom krajín EÚ.

 

Novinkou je aj dôslednejšie zacielenie legislatívy na sprostredkovateľov údajov, ktorých pôvodná legislatíva do veľkej miery obchádzala. Prevádzkovateľ je subjekt, ktorý určuje účely spracovávania údajov, a prostriedky, ktorými sa údaje budú spracovávať.

 

Sprostredkovateľom je v tomto prípade fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Tento článok reťazca smernica z roku 1995 úplne ignorovala a tento pojem vôbec nepoznala. Nové pravidlá sa teda týkajú subjektov, ktoré dostanú na starosť osobné údaje od prevádzkovateľa.

 

Zároveň nové pravidlá ustanovujú kľúčové náležitosti, ktoré má obsahovať dohoda medzi prevádzkovateľom a sprostredkovateľom. Problémovou oblasťou však zostáva takzvaný „subprocessor“, teda nasledujúci článok reťazca. Na subjekt, ktorý získava údaje od sprostredkovateľa, sa nové pravidlá nevzťahujú.

 

„GDPR výrazne posilňuje práva dotknutých osôb. Firmám, ktoré spracovávajú údaje, pribudne množstvo povinností.“

 

Dôležitá zmena sú Privacy by design a Privacy by default. V podstate je to prístup, ktorý má zabezpečiť, že prvky ochrany údajov budú súčasťou vývoja produktov od počiatočných fáz vývoja.

 

Zároveň budú mať niektoré spoločnosti povinnosť mať ustanovenú osobu zodpovednú za ochranu údajov. Povinná je pre verejnoprávne subjekty a orgány štátnej moci, taktiež pre inštitúcie pracujúce s veľkým objemom citlivých údajov. Povinnosť sa týka aj spoločností, ktoré monitorujú jednotlivcov. V rámci nadnárodných firiem nie je nevyhnutné mať zodpovednú osobu v každej krajine. Zodpovednou osobou môže byť aj právnická osoba.

 

Okrem toho sa zdôrazňuje právo „byť zabudnutý“. Dotknutá osoba má právo na vymazanie alebo obmedzenie spracúvania osobných údajov. Dotknuté osoby budú dostávať informácie o existencii tohto práva. Problematikou práva na zabudnutie sa zaoberala napríklad spoločnosť Google v súvislosti s výsledkami vyhľadávania svojho prehliadača.

 

Významnú úlohu bude zohrávať jednoznačný súhlas. Toto ustanovenie v podstate znamená, že určité správanie, napríklad používanie služieb, nebude stačiť ako vyjadrenie súhlasu so spracovávaním údajov.

 

Systematizujú sa pravidlá o informovaní o únikoch. To platí v troch oblastiach. Sprostredkovateľ bude mať štandardy na podávanie informácií o únikoch prevádzkovateľovi. Zároveň budú existovať  pravidlá pre oznamovanie incidentov regulačnému orgánu, tiež prípadne aj dotknutej osobe. Dotknutí jednotlivci dostanú informáciu o úniku, ak im z neho plynú veľké riziká. To všetko by sa malo stihnúť do 72 hodín.

 

Dodržiavanie nových pravidiel budú regulačné orgány vynucovať pod hrozbou vysokých pokút. GDPR zavádza dva druhy pokút. Finančnú sankciu do výšky 2 % celosvetového obratu alebo 10 miliónov eur môže dostať subjekt za viacero pochybení. Medzi nimi je napríklad nedostatočné zabezpečenie osobných údajov, nedostatočná zmluva prevádzkovateľa so sprostredkovateľom, neoznámenie porušenia ochrany osobných údajov a v prípade, že firma neurčí zodpovednú osobu, hoci je to pre ňu povinné. Sankcia tiež hrozí sprostredkovateľom.

 

 

Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov, napríklad vtedy, ak bude firma údaje používať na neurčené, nekonkrétne účely. Táto výška sankcie sa uplatní napríklad aj vtedy, ak dotknutá osoba neudelila súhlas na spracovanie osobných údajov, hoci bol potrebný.

 

Práve nariadenia sú veľmi silným právnym aktom EÚ. Nariadenie je všeobecne záväzný právny akt, ktorý sa priamo uplatňuje v celej EÚ. V európskej legislatíve sa tento druh právnych aktov využíva napríklad v oblasti bezpečnosti potravín. Napríklad európske smernice sa líšia tým, že stanovujú len ciele, ktoré má členský štát dosiahnuť, prostriedky, akými sa tieto ciele majú dosiahnuť, sú už národnou kompetenciou.

 

5
6

Kľúčové slová

Prečítajte si tiež:
9.1.2018 Natália Hučková

GDPR výrazne rozširuje práva dotknutých osôb

Jedným z  hlavných cieľov prijatia nariadenia General data protection regulation (GDPR) je posilnenie práv dotknutých osôb. Nové práva ...

7.12.2017 Ján Beracka

Nariadenie GDPR sa priamo týka aj agentov, povinností je veľa

Nové nariadenie General Data Protection Regulation (GDPR) sa priamo dotkne aj sprostredkovateľov poistenia. Napriek tomu, že napríklad zákon o ...

20.11.2017 Marek Mittaš

Čo podľa Vás prinesie GDPR?

15.11.2017 Natália Hučková

Čo všetko podľa GDPR sú osobné údaje?

Pojem osobné údaje je s  blížiacim sa nadobudnutím účinnosti GDPR skloňovaný takmer všade. Pri poskytovaní služieb, napríklad pri ...

14.11.2017 Natália Hučková

GDPR upravuje postavenie zodpovednej osoby

S  pojmom zodpovedná osoba sme sa mohli stretnúť už v  rámci zákona o  ochrane osobných údajov. GDPR však zavádza rozdiely. ...

18.10.2017 Ján Beracka

EÚ si sľubuje od GDPR úspory, výrazné sú aj negatíva

Prístup k spracovávaniu osobných údajov sa pod vplyvom nariadenia EÚ výrazne mení. Pre firmy to znamená výraznú zmenu spôsobu práce s ...

16.10.2017 Marek Hronec

Ochrana osobných údajov: Legislatíva sa s príchodom GDPR výrazne mení

Súkromné spoločnosti sa sústreďujú na adresnú komunikáciu s klientom, profilovanie zákazníkov, aj cielenú reklamu ušitú na mieru ...

3.7.2017 Ján Beracka

GDPR znamená ochranu osobných údajov v dobe internetu

General data protection regulation (GDPR), nariadenie EÚ o ochrane osobných údajov, sa stáva dôležitou témou. Nariadenie upriamuje pozornosť ...

16.2.2017 Ján Beracka

Na kyberútoky reagujú aj poisťovne

Už dávno neplatí, že za dverami svojho bytu či kancelárie je človek v bezpečí. V elektronickej dobe sú ľudia v nebezpečenstve, pokiaľ ...

PHP Developer - študentská brigáda
PHP Developer províznych systémov
PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení

SPRAVODAJSTVO

V Poľsku pochodovali zástancovia práva na interrupciu, nesúhlasia s návrhom sprísneného zákona
Dvoch ľudí v Kosove obžalovali z podpory extrémizmu cez sociálne siete
Španielska a portugalská polícia objavila viac ako 700 kilogramov kokaínu
Čínske ministerstvo zahraničných vecí protestovalo, nepozvali ho na rokovanie o Severnej Kórei
Maďarská vláda chce pokutovať neziskové organizácie pomáhajúce utečencom

ANKETA

Akú technicko-administratívnu záťaž očakávate s príchodom GDPR?
malú (0%)
strednú (50%)
výrazné komplikácie podnikania (50%)
neviem o čo ide/neviem odhadnúť (0%)

Chcete dostávať novinky na E-mail?