Firmy sa musia od 25. mája budúceho roka pripraviť na prísnejšiu ochranu osobných údajov
Všeobecné nariadenie o ochrane údajov (v celej Európskej únii označované skratkou nariadenie GDPR) bolo publikované v Úradnom vestníku EÚ 27. apríla 2016. Nariadenie GDPR sa začne uplatňovať až 25. mája 2018, teda takmer o dva roky neskôr oproti dátumu publikovania v Úradnom vestníku EÚ.
Normotvorca zvolil túto takmer 2 ročnú dobu medzi publikovaním nariadenia a začiatkom jeho uplatňovania práve z dôvodu, že nariadenie zavádza do práva ochrany osobných údajov mnoho nových inštitútov s cieľom poskytnutia väčšej ochrany osobným údajom občanov a obyvateľov, ktorých osobné údaje sú spracovávané v členských štátov Európskej únie.
Už v prvých mesiacoch od publikovania nariadenia sa s ním podrobne oboznamovali advokáti zaoberajúcou sa uvedenou špecifickou oblasťou práva. Rovnako v mnohých členských štátoch vnútroštátne orgány dozoru v oblasti ochrany osobných údajov pripravili mnohé výkladové materiály a rôzne metodický postupy (hoc nemajú záväzný ale len odporúčací charakter) za účelom uľahčenia prípravy na novú právnu úpravu ochrany osobných údajov.
Následne po tom, ako sa odborníci – najmä advokáti a iní právnici venujúci sa danej oblasti dôkladne oboznámili s novou právnou úpravou, začali organizovať rôzne semináre a iné obdobné aktivity smerujúce k vzdelávaniu v tejto oblasti – napr. pracovníkov firiem, do ktorých pôsobnosti patrí napr. príprava interných aktov, ktorými sa zabezpečuje riadne vykonávanie všetkých povinností stanovených právnymi predpismi, dohľad nad riadnym plnením týchto povinností a pod.
Prirodzene, najmä väčšie spoločnosti, ktoré spracúvajú osobné údaje (či už svojich klientov, obchodných partnerov alebo v rámci marketingu aj len potenciálnych klientov) vo veľkom rozsahu alebo osobné údaje osobitne chránené vysielali svojich zamestnancov (najmä ak vykonávajú funkcie tzv. zodpovednej osoby) na takéto školenia. Rovnako mnohé firmy konzultovali so svojimi advokátmi podrobný plán prípravy prechodu na novú právnu úpravu tak, aby neporušili žiadnu stanovenú povinnosť a vyhli sa tak prípadným veľmi vysokým peňažným sankciám.
Je teda nutné konštatovať, že najmä väčšie firmy sa už niekoľko mesiacov postupne pripravujú na novú právnu úpravu najmä vyššie popísanými spôsobmi. Samozrejme, najväčší rozsah povinností bude dopadať na firmy, ktoré spracúvajú osobné údaje vo veľkom rozsahu alebo ktoré spracúvajú osobitne citlivé osobné údaje (biometrické údaje, údaje o sexuálnom živote a zdraví a pod.).
Aké zmeny čakajú firmy v oblasti ochrany osobných údajov?
Za najväčšiu zmenu v novej právnej úpravy ochrany osobných údajov oproti tej súčasnej považujem zavedenie nového inštitútu, ktorým je posúdenie vplyvu na ochranu osobných údajov. Tento inštitút je úplnou novinkou nového nariadenia GDPR. Obchodné spoločnosti, ako aj iné subjekty spracovávajúce osobné údaje budú povinné vypracovať posúdenie vplyvu vtedy, ak vykonávajú systematické a rozsiahle vyhodnocovanie osobných údajov, ktoré je založené na automatickom spracovaní, vrátane profilovania.
Aj na uvedenom príklade je možné vidieť, že najprísnejšie podmienky budú kladené na najväčších spracovávateľov osobných údajov, ktorými sú prirodzene najmä veľké nadnárodné spoločnosti a rovnako na spracovávateľov osobitne citlivých osobných údajov – biometrických, údajov o zdraví, spracovávanie prevádzkových a lokalizačných údajov, spracovávanie údajov o spáchaných priestupkoch a trestných činoch a pod.
Samozrejme so splnením nových povinností stanovených nariadením GDPR sú a aj budú pre firmy spojené aj náklady – nemalé časové a finančné investície. Tie sa budú týkať najmä týchto oblastí: implementácia zámernej a nevyhnutnej ochrany dát, vypracovanie posúdenia vplyvu na ochranu osobných údajov, menovanie zodpovednej osoby pre ochranu osobných údajov, vedenie záznamov o činnosti spracovania osobných údajov, konzultácie s orgánom dohľadu pred samotným spracovaním osobných údajov. Náklady budú predstavovať napríklad výdavky vynaložené na vypracovanie interných dokumentov upravujúcich vnútorné postupy v rámci firmy tak, aby boli naplnené všetky právne požiadavky či výdavky vynaložené na zavedenie nových bezpečnostných prvkov do využívaných informačných systémov a pod.
Stanovuje nariadenie pre firmy presné postupy, alebo si môžu firmy zvoliť vlastné?
Napriek tomu, že nariadenie GDPR pozostáva z 88 strán, vzhľadom na oblasť, ktorú upravuje a množstvo inštitútov v ňom zakotvených je nutné konštatovať, že úprava obsiahnutá v nariadení je pomerne stručná. Nariadenie definuje najmä základné ciele, zásady, ktoré je potrebné pri ochrane osobných údajov dodržať tak, aby boli tieto údaje dôsledne chránené. Neustanovuje však presné detailné postupy, a to aj z toho dôvodu, že tieto postupy sa budú líšiť vždy v závislosti od kategórie spracovávaných údajov, rozsahu spracovávania, spôsobu spracovávania (manuálne, automatizovane) atď.
Práve z uvedených dôvodov v zmysle nariadenia GDPR bude každý spracovávateľ osobných údajov povinný zabezpečiť ich ochranu, aj keď jednotlivé bezpečnostné, technické či iné opatrenia budú vždy závisieť od špecifík toho ktorého spracovávateľa osobných údajov. Základnou požiadavkou je však vždy to, aby v dôsledku týchto opatrení boli osobné údaje chránené takým spôsobom a na takej úrovni, ako to ustanovuje nariadenie GDPR.
Aj z uvedených dôvodov preto možno každej firme v prvom rade odporučiť, aby dôsledne posúdila aké osobné údaje spracováva, akým spôsobom, ako sú v oblasti ochrany osobných údajov v súčasnosti vzdelaní zamestnanci, ktorý sa na tomto spracovávaní akýmkoľvek spôsobom podieľajú, ako sú chránené spracovávané údaje v informačných systémoch a pod. a v závislosti od toho prijali také opatrenia a v takom rozsahu, aby spĺňali všetky nové prísne požiadavky, ktoré sa začnú vyžadovať od 25.05.2018.
Niektoré firmy síce už v súčasnosti zabezpečujú ochranu spracovávaných osobných údajov na ďaleko vyššej úrovni, ako to vyžadujú jednotlivé právne predpisy, no nové nariadenie GDPR stanovuje toľko nových inštitútov (napr. právo na zabudnutie a pod.), že de facto sa zmeny v právnej úprave ochrany osobných údajov dotknú každej firmy spracovávajúcej osobné údaje.
Čo by mali firmy urobiť v rámci prípravy na toto nariadenie ako prvé?
Už v súčasnej slovenskej vnútroštátnej právnej úprave (vychádzajúcej okrem iného aj z európskej smernice, ktorú nové nariadenie GDPR nahrádza) existuje inštitút zodpovednej osoby. Tento inštitút bol prevzatý aj do nového nariadenia GDPR. Zodpovedná osoba je v novom právnom rámci pre mnoho spoločností kľúčovým inštitútom pre zabezpečenie súladu s ustanoveniami nariadenia.
Hoci nariadenie GDPR v zásade vyžaduje od spracovávateľov osobných údajov menovanie zodpovednej osoby len v prípade, ak spĺňajú pomerne prísne podmienky (napr. spracovávajú údaje vo veľkom rozsahu alebo vykonávajú pravidelné a systematické monitorovanie alebo ak spracovávajú osobitné kategórie osobných údajov atď.) jednoznačne odporúčame firmám menovať zodpovednú osobu aj v prípadoch, ak povinnosť menovať ju nemajú a investovať do nej, a to čím skôr.
Výber zodpovednej osoby by mal byť jedným z prvých krokov, keďže následne by mala práve táto zodpovedná osoba vykonávať a zabezpečiť všetky potrebné činnosti pre to, aby firma spĺňala od začiatku uplatňovania nariadenia všetky povinnosti stanovené nariadením.
Správne a dôsledné vykonávanie funkcie zodpovednou osobou skutočným odborníkom (nemusí byť interným zamestnancom, môže to byť aj externý subjekt) môže prispieť nielen k tomu, že osobné údaje budú skutočne chránené na vysokej úrovni tak, ako to predpovedá nariadenie GDPR ale môže ušetriť firmám v konečnom dôsledku mnohonásobne viac finančných prostriedkov oproti výdavkom na činnosť tejto osoby, keďže nariadením stanovené pokuty v prípade porušenia ustanovených povinností sa môžu vyšplhať do výšky (20 000 000 EUR alebo 4 % celkového svetového ročného obratu – podľa toho, ktorá suma je vyššia).
Samozrejme, je potrebné uvedomiť si, že ochrana osobných údajov sa vždy dotýka firmy ako celku, nie je možné konštatovať, že by išlo o oblasť, ktorá sa týka len určitých jednotiek firmy – oddelení a pod. Je napr. potrebné, aby v podstate každý zamestnanec firmy, ktorý zhromažďuje osobné údaje (napr. aj len opísaním údajov z občianskeho preukazu na recepcii firmy pri návšteve zákazníka) bol dôsledne poučený o presných postupoch spracovávania osobných údajov tak, aby boli dôsledne chránený. Nejde teda o oblasť, ktorá by sa týkala len určitého úzkeho okruhu osôb.
Autor
JUDr. Milan Ficek, advokát
11. februára
Ochotný a profesionálny prístup. Doporučujem!
recenzie
11. mája
Ďakujem veľmi pekne za radu. Bodaj by bolo viac takých ľudí ako Vy, ktorým ešte záleží na ostatných. Nech sa Vám darí.
recenzie
11. júna
Ďakujem za odpoveď. Profesionálny prístup, odpoveď je vystižná a viem co mam očakávať pri konaní.
recenzie
1. novembra
Ďakujem veľmi pekne za radu veľmi mi to pomohlo, viem čo môžem podniknúť a byť si pri tom istý, že robím správne. Ešte raz ďakujem a určite odporúčam
recenzie
9. januára
Ďakujem za rýchlu odpoveď. Dostala som skvelý tip ako postupovať a ušetriť ďalšie náklady za právnické služby.
recenzie
3. septembra
Som veľmi spokojná s prístupom pána Judr. Ficeka a rýchlej odpovede na moju otázku. Vrelo odporúčam každému..
recenzie
3. júla
Veľmi dobré a jednoduché vysvetlenie právnych vecí.... Odporúčam každému,kto potrebuje právnu pomoc...
recenzie
16. januára
Som naozaj nadmieru spokojný...profesionálny prístup, absolútne korektné jednanie, pri jednej z mojich otázok vypracovanie a zaslanie odpovede na doplňujúce otázky..
recenzie