Hľadaj

Nariadenie GDPR sa priamo týka aj agentov, povinností je veľa

Financie Poslať

Nové nariadenie General Data Protection Regulation (GDPR) sa priamo dotkne aj sprostredkovateľov poistenia. Napriek tomu, že napríklad zákon o finančnom sprostredkovaní a finančnom poradenstve určitým spôsobom odbremeňuje agentov, aj tak budú musieť sprostredkovatelia poistenia poznať nové nariadenie a pracovať v súlade s ním.

image

Prevádzkovateľ vs sprostredkovateľ

Sprostredkovateľ poistenia môže byť v duchu pravidiel GDPR takzvaným prevádzkovateľom aj sprostredkovateľom. Prevádzkovateľ je podľa GDPR fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.

 

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Agent môže vystupovať v oboch pozíciách, závisí od toho, za akých okolností údaje spracováva.

 

 

Právo na spracovanie údajov

Na spracovávanie osobných údajov musí mať agent právny základ. Takým základom môže byť zákonná povinnosť, vyjadrený súhlas, oprávnené záujmy, ale aj spracovávanie údajov potrebné na plnenie zmluvy.

 

Povinnosť získať súhlas prešlo výraznou zmenou a agenti sa tiež musia k súhlasu na spracovanie údajov dostať. Výnimku tvoria okolnosti ustanovené v § 31 zákona č. 186/2009 o finančnom sprostredkovaní a finančnom poradenstve.

 

Finančný agent a finančný poradca je na účely vykonávania finančného sprostredkovania alebo finančného poradenstva oprávnený od klienta či jeho zástupcu aj opakovane požadovať konkrétne určené osobné údaje.

 

Ide o meno, priezvisko, trvalý pobyt, adresu prechodného pobytu, rodné číslo, ak je pridelené, dátum narodenia, štátnu príslušnosť, druh a číslo dokladu totožnosti, ak ide o fyzickú osobu vrátane fyzickej osoby zastupujúcej právnickú osobu. Ak ide o fyzickú osobu, ktorá je podnikateľom, aj adresa miesta podnikania, označenie registra alebo inej evidencie, v ktorej je podnikajúca fyzická osoba zapísaná, a číslo zápisu do tohto registra alebo evidencie.

 

Zákon tiež stanovuje okolnosti o údajoch právnických osôb a dokumentoch o práve zastupovať. Tento paragraf tvorí právny základ pre spracovávanie osobných údajov. Ak činnosť agenta je v súlade s týmto ustanovením, výslovný súhlas agent od dotknutej osoby nepotrebuje. Ak chce agent spracovávať údaje s iným zámerom, súhlas dotknutej osoby potrebuje.

 

GDPR tiež prináša zrušenie oznamovacej a registračnej povinnosti informačných systémov na Úrade pre ochranu osobných údajov a evidenčnej povinnosti. Na druhej strane je potrebné viesť evidenciu spracovateľskej činnosti. Musí byť teda jasné, ako agent s údajmi pracoval.

 

Posúdenie vplyvu

Ako aj iné subjekty, aj sprostredkovatelia budú povinní v písomnej forme zostaviť posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov.

 

Súčasťou tohto dokumentu musia byť viaceré náležitosti:

 

  • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ
  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
  • posúdenie rizika pre práva a slobody dotknutých osôb
  • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka.

 

 

Ak by hrozilo, že spracovanie údajov bude viesť k vysokému riziku, prevádzkovateľ má povinnosť uskutočniť konzultácie s dozorným orgánom pred spracúvaním. V prípade Slovenska je dozorným orgánom Úrad na ochranu osobných údajov Slovenskej republiky. Ak úrad uzná, že pripravované spracovávanie údajov nie je v súlade s GDPR, do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, a prípadne aj sprostredkovateľovi, písomné poradenstvo. Táto lehota sa môže predĺžiť o ďalších šesť týždňov.

 

 

Zodpovedná osoba

Nariadenie GDPR stanovuje tri prípady, ktoré ak nastanú, je potrebné stanoviť zodpovednú osobu. Jedným z prípadov je situácia, keď hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah, prípadne účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu. Hlavná činnosť sú pritom všetky úkony vedúce k tomu, aby prevádzkovateľ alebo sprostredkovateľ dosiahol svoj cieľ. Do tejto kategórie teda budú spadať aj sprostredkovatelia.

 

Právo na náhradu škody

Ak sa stane, že pri spracovaní osobných údajov nastane dotknutým osobám škoda, majú právo na náhradu škody. „Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa,“ uvádza sa v nariadení GDPR.

 

V tomto prípade záleží na tom, či je konkrétny subjekt prevádzkovateľ, alebo sprostredkovateľ. „Každý prevádzkovateľ, ktorý sa zúčastnil na spracúvaní, je zodpovedný za škodu spôsobenú spracúvaním, ktoré bolo v rozpore s týmto nariadením. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním, len ak neboli splnené povinnosti, ktoré sa týmto nariadením ukladajú výslovne sprostredkovateľom, alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom,“ uvádza GDPR.


Zodpovednosti za škodu sa podľa GDPR dá zbaviť. „Prevádzkovateľ alebo sprostredkovateľ je zbavený zodpovednosti, ak sa preukáže, že nenesie žiadnu zodpovednosť za udalosť, ktorá spôsobila škodu,“ hovorí GDPR. Ak jeden zo subjektov zaplatí celú škodu, následne má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu.

 

 

Oznámenie o incidentoch

Incident týkajúci sa porušenia ochrany osobných údajov je potrebné oznámiť dozornému orgánu najneskôr do 72 hodín. Výnimkou sú prípady, keď nehrozí riziko pre práva a slobody dotknutých osôb.

 

Oznámenie má štruktúrovanú formu a musí obsahovať viacero informácií:

 

  • opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch.

 

  • meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií

 

  • opis pravdepodobných následkov porušenia ochrany osobných údajov

 

  • opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

 

Prenosnosť údajov

Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Za stanovených podmienok dotknutá osoba má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej pôvodný prevádzkovateľ bránil. Je teda potrebné zabezpečiť prenosnosť údajov. S tým súvisí aj právo „byť zabudnutý“, ktoré GDPR taktiež garantuje.

 

5
6

Kľúčové slová

logo
Prečítajte si tiež:
10.10.2018 Natália Hučková

Mýtus o GDPR #1: Údaje na vizitke je možné ďalej neobmedzene používať

To, že nariadenie General data protection regulation (GDPR) sprísňuje režim spracovania osobných údajov, je známe už v podstate takmer ...

2.10.2018 Ján Beracka

GDPR zvyšuje byrokratickú záťaž podnikateľov, ide o 16 hodín za rok

Nariadenie General data protection regulation (GDPR) zvyšuje byrokratickú záťaž slovenských podnikateľov. Upozornil na to inštitút INESS, ...

14.9.2018 Ján Beracka

Malí a strední podnikatelia sa sťažujú na GDPR, hovoria o priveľkej záťaži

Podnikatelia sa sťažujú na záťaž, ktorú pre nich znamená európske nariadenie General data protection regulation (GDPR). Otvoreným listom sa ...

16.7.2018 Ján Beracka

Väčšina firiem sa na GDPR pripravovala, štáty nie. Slovensko je jednou z výnimiek

Nariadenie General data protection regulation (GDPR) sa stalo v máji účinné. Prvým hmatateľným prejavom GDPR na klientov boli správy od ...

25.6.2018 Redakcia FinReport

Finančné aktuality 25/2018: Počet práceneschopných ľudí klesá

V máji 2018 bolo denne na PN-ke v priemere 92 903 poistencov. Obnova verejných budov bude jednoduchšia. Ceny v dovolenkových destináciách ...

21.5.2018 Redakcia FinReport

GDPR: Firmy by mali rátať s tým, že ľudia si budú uplatňovať práva

Nariadenie General data protection regulation (GDPR) priznáva dotknutým osobám množstvo práv. Spoločnosti musia byť pripravené na to, že ...

20.5.2018 Redakcia FinReport

GDPR: Zodpovedná osoba môže uľahčiť prácu s osobnými údajmi

Nariadenie General data protection regulation (GDPR) vyžaduje aby sa osobné údaje spracovávali len v nevyhnutnom možnom rozsahu, preto nie je ...

19.5.2018 Redakcia FinReport

GDPR: Firmy by mali pripraviť aj vlastných pracovníkov

Nariadenie General data protection regulation (GDPR) výrazne mení princípy ochrany osobných údajov a tieto zmeny majú vplyv na každodenné ...

18.5.2018 Redakcia FinReport

GDPR: Firmy by mali upraviť vlastné klauzuly o ochrane osobných údajov

Spolu s nariadením General data protection regulation (GDPR) sa stáva účinným aj zákon o ochrane osobných údajov. Ešte pred 25. májom ...

17.5.2018 Redakcia FinReport

GDPR: Firmy môžu mať povinnosť posudzovať vplyvy spracovania údajov

Nariadenie General data protection regulation (GDPR) vyžaduje od spoločností, aby sa zamýšľali nad tým, či spracovanie osobných údajov ...

16.5.2018 Redakcia FinReport

GDPR: Firmám môže vzniknúť povinnosť ustanoviť zodpovednú osobu

Spoločnosti musia podľa nového nariadenia General data protection regulation (GDPR) ustanoviť v určitých prípadoch zodpovednú osobu, ktorá ...

15.5.2018 Redakcia FinReport

GDPR: Firmy by sa mali pripraviť na informačnú povinnosť

Nariadenie General data protection regulation (GDPR) ukladá firmám povinnosť informovať dotknuté osoby o tom, že spracováva ich osobné ...

PHP Developer - študentská brigáda PHP Developer - študentská brigáda
PHP Developer províznych systémov PHP Developer províznych systémov
PHP Developer poistných agregátorov PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení PHP Developer FinTech cloudových riešení

Najčítanejšie

  1. 1.
    Mileniáli vytvárajú priestor pre rozvoj finančných služieb, majú záujem aj o prácu v bankovníctve
  2. 2.
    Finančné aktuality 41/2018: Najlepšia dlhodobá investícia je podľa Slovákov kúpa nehnuteľnosti
  3. 3.
    Slovensko nevyberie približne štvrtinu daní, tržby bude evidovať elektronicky
  4. 4.
    Používanie cookies
  5. 5.
    Na najčastejšie otázky daňovníkov odpovedá nový automatizovaný chat Taxana

Chcete dostávať novinky na E-mail?