Hľadaj

GDPR: Množstvo nových povinností pre firmy, aj vysoké pokuty

Ekonomika Poslať

GDPR nahrádza viac ako dvadsať rokov starú smernicu, ktorá vznikala v podmienkach relatívne obmedzeného kybernetického sveta. GDPR preto modernejšie definuje, čo je osobný údaj, zahŕňa aj online identifikátory, teda IP adresy či identifikačné čísla zariadení (UDID).

image

Nové pravidlá do platnosti vstúpia 25. mája 2018. Výrazne sa posilní pozícia dotknutých osôb, teda ľudí, ktorých údaje sa spracovávajú. Pre subjekty, ktoré údaje spracovávajú, to znamená množstvo nových povinností.

 

Novinkou, ktorú GDPR zavádza, je pseudonymizácia údajov a profilovanie. Táto perspektíva starej norme úplne chýbala. Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií. Zároveň sa však takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.

 

 

Ďalším princípom, na ktorom bude stáť nový systém ochrany osobných údajov, je minimalizácia údajov. Spoločnosti budú môcť spracovávať len také údaje, ktoré nevyhnutne potrebujú k svojej činnosti.

 

„Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov.“

 

Popri tejto zmene upravuje GDPR aj profilovanie. Ide o akúkoľvek formu automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby. Za profilovanie sa teda považuje analýza údajov, ktorá vedie napríklad k predvídaniu pracovných návykov, správania, majetkových pomerov či záujmov. 

 

Zásadný dôraz kladie nová legislatíva na globálnu ochranu občanov EÚ. Nariadenie platí pre spoločnosti, ktoré predávajú tovary a služby, tiež pre spoločnosti, ktoré monitorujú správanie.

 

Nové pravidlá sa vzťahujú na spracúvanie osobných údajov v rámci EÚ, a to bez ohľadu na to, či sa spracúvanie vykonáva v EÚ, alebo nie. Pracovať s údajmi v súlade s GDPR musia aj subjekty, ktoré nie sú usadené v EÚ, ale dotknuté osoby sa nachádzajú v EÚ.

 

Nariadenie preto musia dodržiavať aj zahraničné subjekty, ktoré monitorujú správanie subjektov v EÚ, prípadne ponúkajú platené aj bezplatné tovary a služby rezidentom krajín EÚ.

 

Novinkou je aj dôslednejšie zacielenie legislatívy na sprostredkovateľov údajov, ktorých pôvodná legislatíva do veľkej miery obchádzala. Prevádzkovateľ je subjekt, ktorý určuje účely spracovávania údajov, a prostriedky, ktorými sa údaje budú spracovávať.

 

Sprostredkovateľom je v tomto prípade fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Tento článok reťazca smernica z roku 1995 úplne ignorovala a tento pojem vôbec nepoznala. Nové pravidlá sa teda týkajú subjektov, ktoré dostanú na starosť osobné údaje od prevádzkovateľa.

 

Zároveň nové pravidlá ustanovujú kľúčové náležitosti, ktoré má obsahovať dohoda medzi prevádzkovateľom a sprostredkovateľom. Problémovou oblasťou však zostáva takzvaný „subprocessor“, teda nasledujúci článok reťazca. Na subjekt, ktorý získava údaje od sprostredkovateľa, sa nové pravidlá nevzťahujú.

 

„GDPR výrazne posilňuje práva dotknutých osôb. Firmám, ktoré spracovávajú údaje, pribudne množstvo povinností.“

 

Dôležitá zmena sú Privacy by design a Privacy by default. V podstate je to prístup, ktorý má zabezpečiť, že prvky ochrany údajov budú súčasťou vývoja produktov od počiatočných fáz vývoja.

 

Zároveň budú mať niektoré spoločnosti povinnosť mať ustanovenú osobu zodpovednú za ochranu údajov. Povinná je pre verejnoprávne subjekty a orgány štátnej moci, taktiež pre inštitúcie pracujúce s veľkým objemom citlivých údajov. Povinnosť sa týka aj spoločností, ktoré monitorujú jednotlivcov. V rámci nadnárodných firiem nie je nevyhnutné mať zodpovednú osobu v každej krajine. Zodpovednou osobou môže byť aj právnická osoba.

 

Okrem toho sa zdôrazňuje právo „byť zabudnutý“. Dotknutá osoba má právo na vymazanie alebo obmedzenie spracúvania osobných údajov. Dotknuté osoby budú dostávať informácie o existencii tohto práva. Problematikou práva na zabudnutie sa zaoberala napríklad spoločnosť Google v súvislosti s výsledkami vyhľadávania svojho prehliadača.

 

Významnú úlohu bude zohrávať jednoznačný súhlas. Toto ustanovenie v podstate znamená, že určité správanie, napríklad používanie služieb, nebude stačiť ako vyjadrenie súhlasu so spracovávaním údajov.

 

Systematizujú sa pravidlá o informovaní o únikoch. To platí v troch oblastiach. Sprostredkovateľ bude mať štandardy na podávanie informácií o únikoch prevádzkovateľovi. Zároveň budú existovať  pravidlá pre oznamovanie incidentov regulačnému orgánu, tiež prípadne aj dotknutej osobe. Dotknutí jednotlivci dostanú informáciu o úniku, ak im z neho plynú veľké riziká. To všetko by sa malo stihnúť do 72 hodín.

 

Dodržiavanie nových pravidiel budú regulačné orgány vynucovať pod hrozbou vysokých pokút. GDPR zavádza dva druhy pokút. Finančnú sankciu do výšky 2 % celosvetového obratu alebo 10 miliónov eur môže dostať subjekt za viacero pochybení. Medzi nimi je napríklad nedostatočné zabezpečenie osobných údajov, nedostatočná zmluva prevádzkovateľa so sprostredkovateľom, neoznámenie porušenia ochrany osobných údajov a v prípade, že firma neurčí zodpovednú osobu, hoci je to pre ňu povinné. Sankcia tiež hrozí sprostredkovateľom.

 

 

Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov, napríklad vtedy, ak bude firma údaje používať na neurčené, nekonkrétne účely. Táto výška sankcie sa uplatní napríklad aj vtedy, ak dotknutá osoba neudelila súhlas na spracovanie osobných údajov, hoci bol potrebný.

 

Práve nariadenia sú veľmi silným právnym aktom EÚ. Nariadenie je všeobecne záväzný právny akt, ktorý sa priamo uplatňuje v celej EÚ. V európskej legislatíve sa tento druh právnych aktov využíva napríklad v oblasti bezpečnosti potravín. Napríklad európske smernice sa líšia tým, že stanovujú len ciele, ktoré má členský štát dosiahnuť, prostriedky, akými sa tieto ciele majú dosiahnuť, sú už národnou kompetenciou.

 

5
6

Kľúčové slová

logo
Prečítajte si tiež:
6.11.2018 Redakcia FinReport

Natália Hučková vystúpi ako jeden zo spíkrov na konferencii Daily Web 2018

V súvislosti s pripravovanou konferenciou Daily Web 2018 sme sa rozhodli informovať o základných otázkach týkajúcich sa implementácie GDPR. ...

5.11.2018 Natália Hučková

Poučenie zamestnanca nie je len ďalšia administratívna záťaž

Predchádzajúca právna úprava ochrany osobných údajov výslovne stanovovala každej spoločnosti povinnosť uskutočniť poučenie oprávnených ...

10.10.2018 Natália Hučková

Mýtus o GDPR #1: Údaje na vizitke je možné ďalej neobmedzene používať

To, že nariadenie General data protection regulation (GDPR) sprísňuje režim spracovania osobných údajov, je známe už v podstate takmer ...

2.10.2018 Ján Beracka

GDPR zvyšuje byrokratickú záťaž podnikateľov, ide o 16 hodín za rok

Nariadenie General data protection regulation (GDPR) zvyšuje byrokratickú záťaž slovenských podnikateľov. Upozornil na to inštitút INESS, ...

14.9.2018 Ján Beracka

Malí a strední podnikatelia sa sťažujú na GDPR, hovoria o priveľkej záťaži

Podnikatelia sa sťažujú na záťaž, ktorú pre nich znamená európske nariadenie General data protection regulation (GDPR). Otvoreným listom sa ...

16.7.2018 Ján Beracka

Väčšina firiem sa na GDPR pripravovala, štáty nie. Slovensko je jednou z výnimiek

Nariadenie General data protection regulation (GDPR) sa stalo v máji účinné. Prvým hmatateľným prejavom GDPR na klientov boli správy od ...

25.6.2018 Redakcia FinReport

Finančné aktuality 25/2018: Počet práceneschopných ľudí klesá

V máji 2018 bolo denne na PN-ke v priemere 92 903 poistencov. Obnova verejných budov bude jednoduchšia. Ceny v dovolenkových destináciách ...

21.5.2018 Redakcia FinReport

GDPR: Firmy by mali rátať s tým, že ľudia si budú uplatňovať práva

Nariadenie General data protection regulation (GDPR) priznáva dotknutým osobám množstvo práv. Spoločnosti musia byť pripravené na to, že ...

20.5.2018 Redakcia FinReport

GDPR: Zodpovedná osoba môže uľahčiť prácu s osobnými údajmi

Nariadenie General data protection regulation (GDPR) vyžaduje aby sa osobné údaje spracovávali len v nevyhnutnom možnom rozsahu, preto nie je ...

19.5.2018 Redakcia FinReport

GDPR: Firmy by mali pripraviť aj vlastných pracovníkov

Nariadenie General data protection regulation (GDPR) výrazne mení princípy ochrany osobných údajov a tieto zmeny majú vplyv na každodenné ...

18.5.2018 Redakcia FinReport

GDPR: Firmy by mali upraviť vlastné klauzuly o ochrane osobných údajov

Spolu s nariadením General data protection regulation (GDPR) sa stáva účinným aj zákon o ochrane osobných údajov. Ešte pred 25. májom ...

17.5.2018 Redakcia FinReport

GDPR: Firmy môžu mať povinnosť posudzovať vplyvy spracovania údajov

Nariadenie General data protection regulation (GDPR) vyžaduje od spoločností, aby sa zamýšľali nad tým, či spracovanie osobných údajov ...

PHP Developer - študentská brigáda PHP Developer - študentská brigáda
PHP Developer províznych systémov PHP Developer províznych systémov
PHP Developer poistných agregátorov PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení PHP Developer FinTech cloudových riešení

Najčítanejšie

  1. 1.
    365.bank spustila ostrú prevádzku zatiaľ ponúka účet a sporenie
  2. 2.
    Vianočné trhy na Hlavnom námestí v Bratislave otvoria rozsvietením stromčeka
  3. 3.
    Foto: Polícia uzavrela hraničný priechod Medveďov, dôvodom je zrážka poľskej dodávky a kamióna
  4. 4.
    Finančné aktuality 46/2018: V EÚ je nedostatok IT špecialistov
  5. 5.
    V okrese Dunajská Streda zasahovala protiteroristická jednotka NAKA, polícia zverejnila fotografie

Chcete dostávať novinky na E-mail?