Nariadenie GDPR sa priamo týka aj agentov, povinností je veľa
Nové nariadenie General Data Protection Regulation (GDPR) sa priamo dotkne aj sprostredkovateľov poistenia. Napriek tomu, že napríklad zákon o finančnom sprostredkovaní a finančnom poradenstve určitým spôsobom odbremeňuje agentov, aj tak budú musieť sprostredkovatelia poistenia poznať nové nariadenie a pracovať v súlade s ním.
Prevádzkovateľ vs sprostredkovateľ
Sprostredkovateľ poistenia môže byť v duchu pravidiel GDPR takzvaným prevádzkovateľom aj sprostredkovateľom. Prevádzkovateľ je podľa GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.
Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Agent môže vystupovať v oboch pozíciách, závisí od toho, za akých okolností údaje spracováva.
Právo na spracovanie údajov
Na spracovávanie osobných údajov musí mať agent právny základ. Takým základom môže byť zákonná povinnosť, vyjadrený súhlas, oprávnené záujmy, ale aj spracovávanie údajov potrebné na plnenie zmluvy.
Povinnosť získať súhlas prešlo výraznou zmenou a agenti sa tiež musia k súhlasu na spracovanie údajov dostať. Výnimku tvoria okolnosti ustanovené v § 31 zákona č. 186/2009 o finančnom sprostredkovaní a finančnom poradenstve.
Finančný agent a finančný poradca je na účely vykonávania finančného sprostredkovania alebo finančného poradenstva oprávnený od klienta či jeho zástupcu aj opakovane požadovať konkrétne určené osobné údaje.
Ide o meno, priezvisko, trvalý pobyt, adresu prechodného pobytu, rodné číslo, ak je pridelené, dátum narodenia, štátnu príslušnosť, druh a číslo dokladu totožnosti, ak ide o fyzickú osobu vrátane fyzickej osoby zastupujúcej právnickú osobu. Ak ide o fyzickú osobu, ktorá je podnikateľom, aj adresa miesta podnikania, označenie registra alebo inej evidencie, v ktorej je podnikajúca fyzická osoba zapísaná, a číslo zápisu do tohto registra alebo evidencie.
Zákon tiež stanovuje okolnosti o údajoch právnických osôb a dokumentoch o práve zastupovať. Tento paragraf tvorí právny základ pre spracovávanie osobných údajov. Ak činnosť agenta je v súlade s týmto ustanovením, výslovný súhlas agent od dotknutej osoby nepotrebuje. Ak chce agent spracovávať údaje s iným zámerom, súhlas dotknutej osoby potrebuje.
GDPR tiež prináša zrušenie oznamovacej a registračnej povinnosti informačných systémov na Úrade pre ochranu osobných údajov a evidenčnej povinnosti. Na druhej strane je potrebné viesť evidenciu spracovateľskej činnosti. Musí byť teda jasné, ako agent s údajmi pracoval.
Posúdenie vplyvu
Ako aj iné subjekty, aj sprostredkovatelia budú povinní v písomnej forme zostaviť posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov.
Súčasťou tohto dokumentu musia byť viaceré náležitosti:
- systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
- posúdenie rizika pre práva a slobody dotknutých osôb
- opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.
Ak by hrozilo, že spracovanie údajov bude viesť k vysokému riziku, prevádzkovateľ má povinnosť uskutočniť konzultácie s dozorným orgánom pred spracúvaním. V prípade Slovenska je dozorným orgánom Úrad na ochranu osobných údajov Slovenskej republiky. Ak úrad uzná, že pripravované spracovávanie údajov nie je v súlade s GDPR, do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, a prípadne aj sprostredkovateľovi, písomné poradenstvo. Táto lehota sa môže predĺžiť o ďalších šesť týždňov.
Zodpovedná osoba
Nariadenie GDPR stanovuje tri prípady, ktoré ak nastanú, je potrebné stanoviť zodpovednú osobu. Jedným z prípadov je situácia, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah, prípadne účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu. Hlavná činnosť sú pritom všetky úkony vedúce k tomu, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ. Do tejto kategórie teda budú spadať aj sprostredkovatelia.
Právo na náhradu škody
Ak sa stane, že pri spracovaní osobných údajov nastane dotknutým osobám škoda, majú právo na náhradu škody. „Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa,“ uvádza sa v nariadení GDPR.
V tomto prípade záleží na tom, či je konkrétny subjekt prevádzkovateľ, alebo sprostredkovateľ. „Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom,“ uvádza GDPR.
Zodpovednosti za škodu sa podľa GDPR dá zbaviť. „Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu,“ hovorí GDPR. Ak jeden zo subjektov zaplatí celú škodu, následne má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu.
Oznámenie o incidentoch
Incident týkajúci sa porušenia ochrany osobných údajov je potrebné oznámiť dozornému orgánu najneskôr do 72 hodín. Výnimkou sú prípady, keď nehrozí riziko pre práva a slobody dotknutých osôb.
Oznámenie má štruktúrovanú formu a musí obsahovať viacero informácií:
- opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch.
- meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií
- opis pravdepodobných následkov porušenia ochrany osobných údajov
- opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
Prenosnosť údajov
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Za stanovených podmienok dotknutá osoba má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej pôvodný prevádzkovateľ bránil. Je teda potrebné zabezpečiť prenosnosť údajov. S tým súvisí aj právo „byť zabudnutý“, ktoré GDPR taktiež garantuje.
Mzdová kalkulačka
Mzdová kalkulačka ADVANCED
Kalkulačka tehotenskej dávky
Kalkulačka materskej dávky
Kalkulačka rodičovského bonusu
Valorizácia dôchodkov
Kalkulačka na výpočet dôchodku
Kalkulačka dôchodkového veku
Kalkulačka vdovského dôchodku
Kalkulačka sirotského dôchodku
Kalkulačka minimálneho dôchodku
Porovnanie zdravotných poisťovní
2024
Finanční agenti
Kryptomeny
Unicef
Zamestnanie
SPRAVODAJSTVO
Najčítanejšie
- 1.Odchod do predčasného dôchodku bude po novom menej výhodný
- 2.Pomoc s hypotékou sa má po novom týkať aj ľudí s refinancovaným úverom
- 3.Novela zákona o sociálnom poistení prinesie penzistom vyššie 13. dôchodky
- 4.Dnes (19. apríla) je svetový deň investičných fondov. Ako sa im darí na Slovensku?
- 5.Otravné telefonáty sa stanú minulosťou. Predvoľba (0)888 znamená, že ide o marketingový hovor