2018-05-11 12:40

Ste pripravený na GDPR?

Čo GDPR je?

GDPR je novela zákona o ochrane osobných údajov. Je to nové nariadenie EÚ. Nadobudne platnosť 25.5.2018.

Koho sa GDPR týka?

GDPR sa týka každej spoločnosti, ktorá spracováva osobné údaje. Týka sa teda všetkých podnikateľov, eshopov či marketingových spoločností.

Pozor! Osobným údajom sa rozumie všetko, podľa čoho dokážeme identifikovať konkrétnu osobu. Po novom sa osobným údajom rozumie aj e-mailová adresa, IP adresa alebo dokonca aj súbory cookies.

Týka sa GDRP aj vás?

  • Dodávate tovar alebo služby fyzickým osobám?
  • Máte zamestnanca?
  • Vediete si záznamy potencionálnych klientov?
  • Vediete si záznamy dodávateľov a ich zástupcov?
  • Posielate svojim zákazníkom newsletter alebo obchodné ponuky?
  • Máte pre svojich zákazníkov vernostný program?
  • Máte evidenciu o uchádzačov o zamestnanie?
  • Mapujete správanie návštevníkov na svojom webe a ukladáte si ich IP adresy alebo iné údaje?
  • Máte kamerový systém?

Ak ste odpovedali ÁNO aspoň na jednu otázku, GDPR sa vás určite týka.


Aké hlavné zmeny GDPR prinesie?

  • Povinnosť vymedzených subjektov ustanoviť zodpovednú osobu,
  • Povinnosť posúdenia vplyvu na ochranu údajov (DPIA),
  • Spresnenie definície osobných údajov,
  • Sankcie - pokuty,
  • Zmeny a nové povinnosti v oblasti spracovania osobných údajov,
  • Zmeny v oblasti súhlasu so spracúvaním osobných údajov,
  • Nové práva dotknutých osôb,
  • Povinnosť oznamovať a dokumentovať bezpečnostné incidenty,
  • Rozšírenie pôsobnosti regulačných pravidiel,

Prvý bod sa vás pravdepodobne nebude týkať. Ustanovenie zodpovednej osoby bude povinné v niekoľkých prípadoch. 

  1. Ak je potrebné pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.
  2. Ak ste orgán verejnej moci alebo verejnoprávny subjekt.
  3. Ak spracovávate osobné údaje, týkajúce sa uznania viny za trestné činy a priestupky.

Všetky ostatné zmeny ale už pravdepodobne týkať budú. Zásadná je zmena alebo skôr spresnenie definície osobných údajov. Osobným údajom sa rozumie všetko, podľa čoho dokážeme identifikovať konkrétnu osobu. Napríklad mena a priezviská (zamestnancov, zákazníkov, a pod.), bydliská, dátumy narodení a rodné čísla, obchodné mená spoločností, IČO, emailové adresy, telefónne čísla, fotografie… Po novom sa osobným údajom rozumie aj e-mailová adresa, IP adresa alebo dokonca aj súbory cookies.

Časovo najnáročnejšiu zmenu z nášho pohľadu predstavuje DPIA, teda povinnosť posúdiť vplyv na ochranu osobných údajov. Nemýľte si DPIA s povinnosťou vytvoriť bezpečnostný projekt. Zásadný rozdiel je v tom, že pri bezpečnostnom projekte je dôležité zameriavať sa na riziká pôsobiace na bezpečnosť a záujmy organizácie, resp. prevádzkovateľa a pri DPIA je podstatné zameriavať sa na riziká pôsobiace na práva a slobody dotknutých osôb.

Kedy a v akých prípadoch teda treba mať DPIA? Týka sa DPIA práve vás? To je ťažké s určitosťou vymedziť všetky konkrétne prípady.


Máme pre vás len určitú konkretizáciou viacerých možných prípadov:

  • profilovanie dotknutých osôb,
  • posudzovanie bonity veriteľskými registrami bankových či nebankových klientskych údajov,
  • AML systémy vo finančnom sektore,
  • systémy na obmedzenie prístupu k hazardu,
  • spracovanie citlivých osobných údajov (napr. rasa, zdravotné údaje, biometrické údaje, náboženské vyznanie, členstvo v odboroch, rodné číslo apod.) vo veľkom rozsahu – pričom nie je jasne zadefinované, čo sa tým “veľkým rozsahom” rozumie,
  • Rôzne cloudové služby, emailové služby, diáre, elektronické knihy s možnosťou robenia poznámok, rôzne smart aplikácie zaznamenávajúce jedlá, spánok, cvičenia, pohyb apod.);
  • Systematické monitorovanie verejne prístupných miest - využívanie kamerových systémov v nákupných centrách, RFID čipové náramky v zábavných parkoch a veľkých rezortoch, IMSI catchery a WIFI tracking využívaný v retailových prevádzkach,
  • Monitorovanie zamestnancov v práci (napr. sledovanie browsingu, elektronickej pošty, elektronická dochádzka apod.),
  • Vykonávanie cezhraničných prenosov dát obsahujúcich osobné údaje do krajín mimo EÚ,
  • Vykonávanie spracúvania osobných údajov, ktoré zasahuje citlivé skupiny dotknutých osôb  (deti, zamestnanci, pacienti, zdravotne znevýhodnení apod.),
  • Využívanie inovatívnych technologických a organizačných riešení ako napr. odtlačok prsta a rozpoznávanie tváre pre zlepšenie kontroly fyzického prístupu do určených objektov, príp. niektoré IoT technológie s vplyvom na súkromie ľudí (napr. dáta z palubných navigácií alebo smart televízorov).  

DPIA je právna a nie technická záležitosť. Odporúčame a považujeme za jednoduchšie osloviť vhodného advokáta, ktorý nakoniec ani nemusí byť drahší ako licencia na softvér schopný vykonávať automatizované DPIA.

Ako sa na GDPR pripraviť?

  • zorientujte sa v tom, kde všade prídete s osobnými údajmi do styku,
  • posúďte svoj vplyv na ochranu osobných údajov,
  • v prípade potreby, vymenujte zodpovednú osobu, ktorá bude poverená ochranou osobných údajov vo vašej firme,
  • od osôb, ktorých údaje už spracovávate získajte súhlas na konkrétne úkony,
  • tento súhlas rozpíšte konkrétne (nie len marketing ale napr.: email newsletter),
  • dajte im možnosť nesúhlasiť,
  • nekupujte „mačku vo vreci“ od rôznych poskytovateľov bez dostatočnej odbornej legitimity a neorientovať sa výlučne podľa najnižšej ceny za DPIA,
  • zmazať všetky údaje, na ktoré nemáte právny dôvod na ich ďalšie spracovanie,
  • dokumentovať a dokladovať dozornému orgánu, že spracovávate len tie údaje, ktoré sú potrebné k danému účelu,
  • “pro forma” DPIA tiež neobstoja pred kontrolnými orgánmi úradu a nebudú v praxi dostatočné na preukázanie splnenia predmetnej povinnosti

Súhlas so spracovaním údajov:

  • musí byť konkrétny,
  • musí byť vyjadrený jednoznačne a slobodne,
  • „predvyznačené“ políčka alebo nečinnosť dotknutej osoby už nebude možné pokladať za súhlas so spracovaním osobných údajov

Informácia musí obsahovať:

  • totožnosť a kontaktné údaje prevádzkovateľa,
  • kontaktné údaje prípadnej zodpovednej osoby,
  • účely spracovania, na ktoré sú osobné údaje určené,
  • právny základ spracovania,
  • kto sú príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté,
  • informácie o predpokladanej dobe uchovávania osobných údajov,
  • ak sa osobné údaje nezískali od dotknutej osoby, uviesť ich zdroj,
  • informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu
 


Čo riskujem, keď nebudem postupovať korektne?

  • „poťahovačkami“ s úradom
  • pokuty až do výšky 10 miliónov EUR alebo 4% ročného celosvetového obratu za predchádzajúci účtovný rok

Ale nebojte sa. Zďaleka nie každá pokuta a už vôbec nie na Slovensku, bude dosahovať výšku horných miliónových sadzieb. Pokuty podľa GDPR majú byť vždy primerané a odrádzajúce, no nie likvidačné.

A nezabudnite. Osobám, ktorých údaje spracovávate, ich musíte na vyžiadanie poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, pričom musia byť formulované jasne a jednoducho. Ľudskou rečou a nie právnym jazykom.


Dotknuté osoby majú právo:

  • právo na poskytnutie informácií ktoré o osobe spracovávate,
  • právo na prístup k  údajom,
  • právo na opravu,
  • právo na obmedzenie spracúvania,
  • právo „na zabudnutie“ - vymazanie,
  • právo na prenosnosť údajov,
  • právo namietať,
  • právo na súdny prostriedok nápravy,
  • právo na náhradu škody,
  • súhlas so spracúvaním osobných údajov

Ísť späť

GDPR je tu!
Používame anonymizované súbory cookie, aby sme Vám poskytli najlepší zážitok z našej stránky a ochránili vaše osobné údaje. Ak budete pokračovať, povoľujete tým prijatie všetkých súborov cookie na stránke spoločnosti MI:SU Design.Viac informácii
OK