GDPR – ochrana osobných údajov od 25.05.2018

 Nakoľko sa blíži 25.5.2018 je dobre si povedať aspoň základné informácie o GDPR.

Čo je GDPR (General Data Protection Regulation)?

Ide o smernicu EÚ, ktorá výrazne mení pravidla pre spracovávanie a uchovávanie osobných údajov. V súvislosti so spracovaním osobných údajov sa toho v dnešnej dobe oproti minulosti veľa zmenilo, najmä čo sa týka formy uchovávania osobných údajov. Tie sú dnes v drvivej väčšine v digitálnej podobe a smernica reaguje práve na túto zmenu. GDPR začne platiť od 25. mája 2018.

Koho sa GDPR týka?

Nariadenie sa týka akejkoľvek firmy, ktorá disponuje, spracováva a pracuje s osobnými údajmi občanov Európskej únie. Takže ide nielen o firmy z EÚ, ale o všetky firmy, ktoré ukladajú údaje o európskych občanoch. Je potrebné uviesť, že ochrana osobných údajov sa týka všetkých zamestnávateľov, prevádzkovateľov kamerových systémov, prevádzkovateľov webových stránok, sprostredkovateľov, ktorí spracúvajú osobné údaje pre prevádzkovateľov ako aj všetkých ostatných podnikateľských subjektov, ktoré spracúvajú osobné údaje fyzických osôb v rámci svojej podnikateľskej činnosti.

Čo možno považovať za osobný údaj?

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä s odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby."

Čo GDPR znamená pre firmy v praxi?

GDPR sprísňuje pravidlá pre získanie platného súhlasu s použitím osobných údajov.

Firmy a organizácie budú musieť byť schopné ukázať platný súhlas k použitiu osobných informácií.

Firmy potrebujú zaistiť, aby voči klientom v žiadosti o súhlas používali jednoduchý a zrozumiteľný jazyk. Aby bolo jasné, ako a na čo vlastne chcú informácie využívať.

GDPR ďalej vyžaduje, aby firmy a organizácie zhromažďujúce osobné údaje mohli preukázať jasný a potvrdzujúci súhlas pre spracovanie týchto dát.

Firmy budú musieť disponovať vhodným bezpečnostným riešením, ktoré bude schopné ochrániť ich informačný systém a prípadne aj osobné údaje zákazníkov alebo používateľov pred ich narušením. Ide teda o spôsobilosť predísť bezpečnostným incidentom, ktoré by viedli k náhodnému či protiprávnemu zničeniu, strate, zmene či neoprávnenému vyzradeniu alebo sprístupneniu osobných údajov prenášaných, uchovávaných či inak spracovávaných.Bude potrebné implementovať riešenia, ktoré upozornia na podozrivé správanie - či už zvonku pri krádeži údajov, infiltrovaní systému a podobne, alebo vnútorné pri neopatrnom zaobchádzaní s údajmi.

Nariadenie GDPR vyžaduje, aby postihnutá firma či organizácia informovala úrad pre ochranu osobných údajov o úniku najneskôr 72 hodín po zistení.Ďalej musia firmy a organizácie zaistiť procesy a technológie, ktoré im umožnia únik odhaliť, zareagovať a zaistiť nápravu.

Inšpektor ochrany údajov (DPO - Data Protection Officer)

GDPR vyžaduje, aby orgány štátnej správy, ktoré spracovávajú osobné informácie, menovali inšpektora pre ochranu osobných údajov (DPO - Data Protection Officer). Rovnako takto profilovanú pozícius budú musieť obsadiť podniky či organizácie, ktorých základné činnosti patria pravidelné a systematické monitorovanie a spracovanie veľkých objemov osobných údajov alebo pracujú s ďalšími špeciálnymi údajmi, ktoré prvky osobných dát vykazujú. V praxi ide o nemocnice, banky, poisťovne, HR firmy, ale aj o niektoré e-shopy. Osoba poverená funkciou DPO by mala byť odborníkom na zabezpečenie a právo a jej úlohou je dohliadať na dodržiavanie súladu so smernicou GDPR vo firme.

Pokuty

Porušiteľom môže byť podľa GDPR udelená pokuta do výšky 20 000 000,- €, resp. až do výšky 4 % celkového svetového predchádzajúceho obratu za predchádzajúci účtovný rok. Táto výška pokuty môže byť udelená od 25.05.2018