Hľadaj

Nariadenie GDPR sa priamo týka aj agentov, povinností je veľa

1 Financie Poslať

Nové nariadenie General Data Protection Regulation (GDPR) sa priamo dotkne aj sprostredkovateľov poistenia. Napriek tomu, že napríklad zákon o finančnom sprostredkovaní a finančnom poradenstve určitým spôsobom odbremeňuje agentov, aj tak budú musieť sprostredkovatelia poistenia poznať nové nariadenie a pracovať v súlade s ním.

Prevádzkovateľ vs sprostredkovateľ

Sprostredkovateľ poistenia môže byť v duchu pravidiel GDPR takzvaným prevádzkovateľom aj sprostredkovateľom. Prevádzkovateľ je podľa GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

 

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Agent môže vystupovať v oboch pozíciách, závisí od toho, za akých okolností údaje spracováva.

 

 

Právo na spracovanie údajov

Na spracovávanie osobných údajov musí mať agent právny základ. Takým základom môže byť zákonná povinnosť, vyjadrený súhlas, oprávnené záujmy, ale aj spracovávanie údajov potrebné na plnenie zmluvy.

 

Povinnosť získať súhlas prešlo výraznou zmenou a agenti sa tiež musia k súhlasu na spracovanie údajov dostať. Výnimku tvoria okolnosti ustanovené v § 31 zákona č. 186/2009 o finančnom sprostredkovaní a finančnom poradenstve.

 

Finančný agent a finančný poradca je na účely vykonávania finančného sprostredkovania alebo finančného poradenstva oprávnený od klienta či jeho zástupcu aj opakovane požadovať konkrétne určené osobné údaje.

 

Ide o meno, priezvisko, trvalý pobyt, adresu prechodného pobytu, rodné číslo, ak je pridelené, dátum narodenia, štátnu príslušnosť, druh a číslo dokladu totožnosti, ak ide o fyzickú osobu vrátane fyzickej osoby zastupujúcej právnickú osobu. Ak ide o fyzickú osobu, ktorá je podnikateľom, aj adresa miesta podnikania, označenie registra alebo inej evidencie, v ktorej je podnikajúca fyzická osoba zapísaná, a číslo zápisu do tohto registra alebo evidencie.

 

Zákon tiež stanovuje okolnosti o údajoch právnických osôb a dokumentoch o práve zastupovať. Tento paragraf tvorí právny základ pre spracovávanie osobných údajov. Ak činnosť agenta je v súlade s týmto ustanovením, výslovný súhlas agent od dotknutej osoby nepotrebuje. Ak chce agent spracovávať údaje s iným zámerom, súhlas dotknutej osoby potrebuje.

 

GDPR tiež prináša zrušenie oznamovacej a registračnej povinnosti informačných systémov na Úrade pre ochranu osobných údajov a evidenčnej povinnosti. Na druhej strane je potrebné viesť evidenciu spracovateľskej činnosti. Musí byť teda jasné, ako agent s údajmi pracoval.

 

Posúdenie vplyvu

Ako aj iné subjekty, aj sprostredkovatelia budú povinní v písomnej forme zostaviť posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov.

 

Súčasťou tohto dokumentu musia byť viaceré náležitosti:

 

  • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ
  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
  • posúdenie rizika pre práva a slobody dotknutých osôb
  • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

 

 

Ak by hrozilo, že spracovanie údajov bude viesť k vysokému riziku, prevádzkovateľ má povinnosť uskutočniť konzultácie s dozorným orgánom pred spracúvaním. V prípade Slovenska je dozorným orgánom Úrad na ochranu osobných údajov Slovenskej republiky. Ak úrad uzná, že pripravované spracovávanie údajov nie je v súlade s GDPR, do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, a prípadne aj sprostredkovateľovi, písomné poradenstvo. Táto lehota sa môže predĺžiť o ďalších šesť týždňov.

 

 

Zodpovedná osoba

Nariadenie GDPR stanovuje tri prípady, ktoré ak nastanú, je potrebné stanoviť zodpovednú osobu. Jedným z prípadov je situácia, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah, prípadne účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu. Hlavná činnosť sú pritom všetky úkony vedúce k tomu, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ. Do tejto kategórie teda budú spadať aj sprostredkovatelia.

 

Právo na náhradu škody

Ak sa stane, že pri spracovaní osobných údajov nastane dotknutým osobám škoda, majú právo na náhradu škody. „Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa,“ uvádza sa v nariadení GDPR.

 

V tomto prípade záleží na tom, či je konkrétny subjekt prevádzkovateľ, alebo sprostredkovateľ. „Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom,“ uvádza GDPR.


Zodpovednosti za škodu sa podľa GDPR dá zbaviť. „Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu,“ hovorí GDPR. Ak jeden zo subjektov zaplatí celú škodu, následne má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu.

 

 

Oznámenie o incidentoch

Incident týkajúci sa porušenia ochrany osobných údajov je potrebné oznámiť dozornému orgánu najneskôr do 72 hodín. Výnimkou sú prípady, keď nehrozí riziko pre práva a slobody dotknutých osôb.

 

Oznámenie má štruktúrovanú formu a musí obsahovať viacero informácií:

 

  • opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch.

 

  • meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií

 

  • opis pravdepodobných následkov porušenia ochrany osobných údajov

 

  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

 

Prenosnosť údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Za stanovených podmienok dotknutá osoba má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej pôvodný prevádzkovateľ bránil. Je teda potrebné zabezpečiť prenosnosť údajov. S tým súvisí aj právo „byť zabudnutý“, ktoré GDPR taktiež garantuje.

 

5
6

Kľúčové slová

PHP Developer - študentská brigáda
PHP Developer províznych systémov
PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení

SPRAVODAJSTVO

Delta Air Lines objednáva sto lietadiel Airbus za miliardy dolárov
Podľa Tuska je systém prerozdeľovania utečencov neefektívny, Merkelová s ním nesúhlasí
Bezdomovec si z letiska Charlesa de Gaulla v Paríži odniesol tisícky eur
Európska centrálna banka vylepšila prognózu ekonomického rastu
Nielen nepočujúci si budú môcť zavolať záchranku cez SMS, prezident Kiska podpísal novelu zákona

ANKETA

Akú technicko-administratívnu záťaž očakávate s príchodom GDPR?
malú (0%)
strednú (50%)
výrazné komplikácie podnikania (50%)
neviem o čo ide/neviem odhadnúť (0%)

Chcete dostávať novinky na E-mail?