GDPR

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679

o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – ďalej len „GDPR“)

ZÁKON O OCHRANE OSOBNÝCH ÚDAJOV č. 18/2018 Z. z.

o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o OOÚ“) ruší zákon č. 122/2013 Z. z. o ochrane osobných údajov a harmonizuje slovenský právny poriadok s nariadením (GDPR).

GDPR a zákon o OOÚ nadobudli účinnosť dňa 25. 5. 2018, t. j. od tohto dátumu je nutné postupovať už podľa nových právnych predpisov.

Čo je potrebné urobiť:

  • aktualizovať dokumentáciu (záznamy o spracovateľských činnostiach, súhlas so spracúvaním osobných údajov, zmluvy so sprostredkovateľom, oznámenie bezpečnostných incidentov a pod.),

  • ak by typ plánovaného spracúvania údajov mohol viesť k vysokému riziku pre práva fyzických osôb, je treba posúdiť vplyv na ochranu osobných údajov, čo zahŕňa –

    • opis a určenie účelu spracovateľských operácií,

    • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,

    • posúdenie rizika pre práva dotknutej osoby a

    • prijatie opatrení na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov,

  • prijať a zdokumentovať nové odporúčané bezpečnostné opatrenia, napr. šifrovanie, pseudonymizáciu, anonymizáciu osobných údajov a podobne,

  • určiť pravidlá pre splnenie tzv. oznamovacej povinnosti – ak prevádzkovateľ poruší pravidlá ochrany osobných údajov napr. tým, že neoprávnene zverejní osobné údaje, alebo ich získa neoprávnená osoba, je povinný toto oznámiť Úradu na ochranu osobných údajov do 72 hodín po tom, ako sa o tom dozvedel,

  • stanoviť vnútorné pravidlá pre uplatnenie práv dotknutých osôb, napríklad –

    • právo na opravu nesprávnych osobných údajov,

    • právo na výmaz – právo na zabudnutie osobných údajov,

    • právo na obmedzenie spracúvania osobných údajov,

    • právo na prenosnosť údajov ďalšiemu prevádzkovateľovi,

    • právo namietať automatizované individuálne rozhodovanie a profilovanie,

  • určiť zodpovednú osobu, ak –

    • spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia (všetky orgány verejnej správy, štátne úrady, obce, školy a verejnoprávne inštitúcie poskytujúce verejné služby…),

    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (bankové inštitúcie a poisťovne, e-shopy, bezpečnostné služby, firmy, ktoré pravidelne a systematicky monitorujú osoby vo veľkom rozsahu spracúvajú údaje o zákazníkoch prostredníctvom napr. kamerovým systémom v nákupných centrách, aplikáciami, ktoré vyhodnocujú správanie sa klienta na internete za účelom cielenej reklamy, profilovanie a pod.) alebo,

    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku vo veľkom rozsahu (zdravotnícke zariadenia a firmy, ktorých hlavnou činnosťou je rozsiahle spracúvanie biometrických údajov, genetických údajov, údajov o rasovom alebo etnickom pôvode, údajov o politických názoroch, údajov týkajúcich sa zdravia alebo sexuálneho života).

Úrad na ochranu osobných údajov môže uložiť pokutu až do výšky 20 miliónov EUR, alebo ak ide o podnik do 4 % celkového svetového ročného obratu tomu, kto napríklad nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov, vrátane podmienok súhlasu, alebo nesplnil alebo porušil niektoré z práv dotknutej osoby.