Hľadaj
× Aplikácia Aplikácia

Nariadenie GDPR sa priamo týka aj agentov, povinností je veľa

Ján Beracka Financie Poslať

Nové nariadenie General Data Protection Regulation (GDPR) sa priamo dotkne aj sprostredkovateľov poistenia. Napriek tomu, že napríklad zákon o finančnom sprostredkovaní a finančnom poradenstve určitým spôsobom odbremeňuje agentov, aj tak budú musieť sprostredkovatelia poistenia poznať nové nariadenie a pracovať v súlade s ním.

Prevádzkovateľ vs sprostredkovateľ

Sprostredkovateľ poistenia môže byť v duchu pravidiel GDPR takzvaným prevádzkovateľom aj sprostredkovateľom. Prevádzkovateľ je podľa GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Agent môže vystupovať v oboch pozíciách, závisí od toho, za akých okolností údaje spracováva.

 

Právo na spracovanie údajov

Na spracovávanie osobných údajov musí mať agent právny základ. Takým základom môže byť zákonná povinnosť, vyjadrený súhlas, oprávnené záujmy, ale aj spracovávanie údajov potrebné na plnenie zmluvy.

Povinnosť získať súhlas prešlo výraznou zmenou a agenti sa tiež musia k súhlasu na spracovanie údajov dostať. Výnimku tvoria okolnosti ustanovené v § 31 zákona č. 186/2009 o finančnom sprostredkovaní a finančnom poradenstve.

Finančný agent a finančný poradca je na účely vykonávania finančného sprostredkovania alebo finančného poradenstva oprávnený od klienta či jeho zástupcu aj opakovane požadovať konkrétne určené osobné údaje.

Ide o meno, priezvisko, trvalý pobyt, adresu prechodného pobytu, rodné číslo, ak je pridelené, dátum narodenia, štátnu príslušnosť, druh a číslo dokladu totožnosti, ak ide o fyzickú osobu vrátane fyzickej osoby zastupujúcej právnickú osobu. Ak ide o fyzickú osobu, ktorá je podnikateľom, aj adresa miesta podnikania, označenie registra alebo inej evidencie, v ktorej je podnikajúca fyzická osoba zapísaná, a číslo zápisu do tohto registra alebo evidencie.

Zákon tiež stanovuje okolnosti o údajoch právnických osôb a dokumentoch o práve zastupovať. Tento paragraf tvorí právny základ pre spracovávanie osobných údajov. Ak činnosť agenta je v súlade s týmto ustanovením, výslovný súhlas agent od dotknutej osoby nepotrebuje. Ak chce agent spracovávať údaje s iným zámerom, súhlas dotknutej osoby potrebuje.

GDPR tiež prináša zrušenie oznamovacej a registračnej povinnosti informačných systémov na Úrade pre ochranu osobných údajov a evidenčnej povinnosti. Na druhej strane je potrebné viesť evidenciu spracovateľskej činnosti. Musí byť teda jasné, ako agent s údajmi pracoval.

Posúdenie vplyvu

Ako aj iné subjekty, aj sprostredkovatelia budú povinní v písomnej forme zostaviť posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov.

Súčasťou tohto dokumentu musia byť viaceré náležitosti:

  • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ
  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
  • posúdenie rizika pre práva a slobody dotknutých osôb
  • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

Ak by hrozilo, že spracovanie údajov bude viesť k vysokému riziku, prevádzkovateľ má povinnosť uskutočniť konzultácie s dozorným orgánom pred spracúvaním. V prípade Slovenska je dozorným orgánom Úrad na ochranu osobných údajov Slovenskej republiky. Ak úrad uzná, že pripravované spracovávanie údajov nie je v súlade s GDPR, do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, a prípadne aj sprostredkovateľovi, písomné poradenstvo. Táto lehota sa môže predĺžiť o ďalších šesť týždňov.

Zodpovedná osoba

Nariadenie GDPR stanovuje tri prípady, ktoré ak nastanú, je potrebné stanoviť zodpovednú osobu. Jedným z prípadov je situácia, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah, prípadne účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu. Hlavná činnosť sú pritom všetky úkony vedúce k tomu, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ. Do tejto kategórie teda budú spadať aj sprostredkovatelia.

Právo na náhradu škody

Ak sa stane, že pri spracovaní osobných údajov nastane dotknutým osobám škoda, majú právo na náhradu škody. „Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa,“ uvádza sa v nariadení GDPR.

V tomto prípade záleží na tom, či je konkrétny subjekt prevádzkovateľ, alebo sprostredkovateľ. „Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom,“ uvádza GDPR.


Zodpovednosti za škodu sa podľa GDPR dá zbaviť. „Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu,“ hovorí GDPR. Ak jeden zo subjektov zaplatí celú škodu, následne má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu.

 

Oznámenie o incidentoch

Incident týkajúci sa porušenia ochrany osobných údajov je potrebné oznámiť dozornému orgánu najneskôr do 72 hodín. Výnimkou sú prípady, keď nehrozí riziko pre práva a slobody dotknutých osôb.

Oznámenie má štruktúrovanú formu a musí obsahovať viacero informácií:

  • opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch.
  • meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií
  • opis pravdepodobných následkov porušenia ochrany osobných údajov
  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

Prenosnosť údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Za stanovených podmienok dotknutá osoba má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej pôvodný prevádzkovateľ bránil. Je teda potrebné zabezpečiť prenosnosť údajov. S tým súvisí aj právo „byť zabudnutý“, ktoré GDPR taktiež garantuje.

5
6
logo
Prečítajte si tiež:
21.5.2024 Martin Jamnický

Prídu rekordné pokuty za porušovanie GDPR aj na Slovensko?

Odstrašujúce pokuty za porušenie GDPR sa pomaly dostávajú aj do našich končín. Príkladom je aprílové potvrdenie rozhodnutia českého ...

26.9.2023 Redakcia FinReport

Výrobca športových hodiniek čelí sťažnosti za porušenie GDPR

Občianske združenie noyb podalo koncom augusta 2023 sťažnosť voči americkej spoločnosti Fitbit. Tá je známa aj slovenským spotrebiteľom ...

4.11.2022 Naďa Černá

Sociálne siete majú problémy s nariadením GDPR. Kvôli jeho nedodržiavaniu platia vysoké pokuty

Írska komisia pre ochranu údajov udelila spoločnosti Meta pokutu vo výške 17 miliónov eur za sériu porušení GDPR. Nejde však o prvý ani ...

7.7.2022 Naďa Černá

Súdny dvor EÚ posilňuje práva spotrebiteľských združení v boji za ochranu GDPR

Súdny dvor EÚ výrazne posilnil právomoci spotrebiteľských organizácií. Odsúhlasil, že budú môcť podávať žaloby kvôli porušeniu ...

4.1.2022 Magdaléna Švančarková

Pokuty v oblasti cookies prichádzajú aj na Slovensko a budú vysoké

Vedia zistiť, čo zákazník nakupuje, ako sa pohybuje v online priestore, aké tovary si prezeral a na základe toho naňho cielia tie ...

20.5.2020 Správy

Hekeri ukradli údaje o deviatich miliónoch zákazníkov leteckej spoločnosti easyJet

19.5.2020 (Webnoviny.sk) - Hekeri napadli britskú leteckú spoločnosť easyJet a získali prístup k informáciám o deviatich miliónoch ...

28.1.2020 Správy

Módny obchodný reťazec sa dopustil rozsiahleho porušenia ochrany osobných údajov

27.1.2020 (Webnoviny.sk) - Nemecký úrad na ochranu osobných údajov začal prešetrovať švédsky módny obchodný reťazec H&M na základe ...

17.1.2020 Natália Hučková

Sociálnej poisťovni unikli osobné údaje poistenca, musí zaplatiť pokutu

Sociálna poisťovňa dostala pokutu vo výške 50-tisíc eur za porušenie pravidiel ochrany osobných údajov. Pri doručovaní dokumentov sa jej ...

18.11.2019 Natália Hučková

Hackeri získali údaje 6 miliónov Bulharov, pokutu zaplatí finančný úrad

Bulharská národná agentúra pre príjmy (finančný úrad) musí za únik osobných údajov zaplatiť pokutu 2,6 milióna eur. Bezpečnostný ...

4.11.2019 Natália Hučková

Rakúska pošta predáva údaje o zákazníkoch. Hrozí jej 18-miliónová pokuta

V Rakúsku padla rekordná pokuta za porušenie GDPR. Sankciu 18 miliónov eur dostala za nedodržanie ochrany osobných údajov rakúska pošta. Tá ...

30.10.2019 Natália Hučková

Mall.cz musí odškodniť užívateľa za únik osobných údajov. Ozvú sa ďalší?

Rozsiahly únik osobných údajov z databázy českého e-shopu mall.cz nie je ešte ani zďaleka doriešený. Svedčí o tom aj nedávny rozsudok ...

22.10.2019 Natália Hučková

Cookies na webových stránkach sa menia, rozhodol Súdny dvor EÚ

Súdny dvor EÚ v októbri vydal rozhodnutie, ktoré zásadne mení používanie cookies. Rozsudok sprísňuje pravidlá aj pre cookies, ktoré ...

Mobilná aplikácia
VISA MasterCard Maestro Apple Pay Google Pay