Máte
otázku?

Ochrana osobných údajov 2018 GDPR časť 1.

Zdroj: https://www.enisa.europa.eu

Firmy sa musia od 25. mája budúceho roka pripraviť na prísnejšiu ochranu osobných údajov

 

Všeobecné nariadenie o ochrane údajov (v celej Európskej únii označované skratkou nariadenie GDPR) bolo publikované v Úradnom vestníku EÚ 27. apríla 2016. Nariadenie GDPR sa začne uplatňovať až 25. mája 2018, teda takmer o dva roky neskôr oproti dátumu publikovania v Úradnom vestníku EÚ.

 

Normotvorca zvolil túto takmer 2 ročnú dobu medzi publikovaním nariadenia a začiatkom jeho uplatňovania práve z dôvodu, že nariadenie zavádza do práva ochrany osobných údajov mnoho nových inštitútov s cieľom poskytnutia väčšej ochrany osobným údajom občanov a obyvateľov, ktorých osobné údaje sú spracovávané v členských štátov Európskej únie.

 

Už v prvých mesiacoch od publikovania nariadenia sa s ním podrobne oboznamovali advokáti zaoberajúcou sa uvedenou špecifickou oblasťou práva. Rovnako v mnohých členských štátoch vnútroštátne orgány dozoru v oblasti ochrany osobných údajov pripravili mnohé výkladové materiály a rôzne metodický postupy (hoc nemajú záväzný ale len odporúčací charakter) za účelom uľahčenia prípravy na novú právnu úpravu ochrany osobných údajov.

 

Následne po tom, ako sa odborníci – najmä advokáti a iní právnici venujúci sa danej oblasti dôkladne oboznámili s novou právnou úpravou, začali organizovať rôzne semináre a iné obdobné aktivity smerujúce k vzdelávaniu v tejto oblasti – napr. pracovníkov firiem, do ktorých pôsobnosti patrí napr. príprava interných aktov, ktorými sa zabezpečuje riadne vykonávanie všetkých povinností stanovených právnymi predpismi, dohľad nad riadnym plnením týchto povinností a pod.

 

Prirodzene, najmä väčšie spoločnosti, ktoré spracúvajú osobné údaje (či už svojich klientov, obchodných partnerov alebo v rámci marketingu aj len potenciálnych klientov) vo veľkom rozsahu alebo osobné údaje osobitne chránené vysielali svojich zamestnancov (najmä ak vykonávajú funkcie tzv. zodpovednej osoby) na takéto školenia. Rovnako mnohé firmy konzultovali so svojimi advokátmi podrobný plán prípravy prechodu na novú právnu úpravu tak, aby neporušili žiadnu stanovenú povinnosť a vyhli sa tak prípadným veľmi vysokým peňažným sankciám.

 

Je teda nutné konštatovať, že najmä väčšie firmy sa už niekoľko mesiacov postupne pripravujú na novú právnu úpravu najmä vyššie popísanými spôsobmi. Samozrejme, najväčší rozsah povinností bude dopadať na firmy, ktoré spracúvajú osobné údaje vo veľkom rozsahu alebo ktoré spracúvajú osobitne citlivé osobné údaje (biometrické údaje, údaje o sexuálnom živote a zdraví a pod.).

 

Aké zmeny čakajú firmy v oblasti ochrany osobných údajov? 

 

Za najväčšiu zmenu v novej právnej úpravy ochrany osobných údajov oproti tej súčasnej považujem zavedenie nového inštitútu, ktorým je posúdenie vplyvu na ochranu osobných údajov. Tento inštitút je úplnou novinkou nového nariadenia GDPR. Obchodné spoločnosti, ako aj iné subjekty spracovávajúce osobné údaje budú povinné vypracovať posúdenie vplyvu vtedy, ak vykonávajú systematické a rozsiahle vyhodnocovanie osobných údajov, ktoré je založené na automatickom spracovaní, vrátane profilovania.

 

Aj na uvedenom príklade je možné vidieť, že najprísnejšie podmienky budú kladené na najväčších spracovávateľov osobných údajov, ktorými sú prirodzene najmä veľké nadnárodné spoločnosti a rovnako na spracovávateľov osobitne citlivých osobných údajov – biometrických, údajov o zdraví, spracovávanie prevádzkových a lokalizačných údajov, spracovávanie údajov o spáchaných priestupkoch a trestných činoch a pod.

 

Samozrejme so splnením nových povinností stanovených nariadením GDPR sú a aj budú pre firmy spojené aj náklady – nemalé časové a finančné investície. Tie sa budú týkať najmä týchto oblastí: implementácia zámernej a nevyhnutnej ochrany dát, vypracovanie posúdenia vplyvu na ochranu osobných údajov, menovanie zodpovednej osoby pre ochranu osobných údajov, vedenie záznamov o činnosti spracovania osobných údajov, konzultácie s orgánom dohľadu pred samotným spracovaním osobných údajov. Náklady budú predstavovať napríklad výdavky vynaložené na vypracovanie interných dokumentov upravujúcich vnútorné postupy v rámci firmy tak, aby boli naplnené všetky právne požiadavky či výdavky vynaložené na zavedenie nových bezpečnostných prvkov do využívaných informačných systémov a pod.

 

Stanovuje nariadenie pre firmy presné postupy, alebo si môžu firmy zvoliť vlastné?

 

Napriek tomu, že nariadenie GDPR pozostáva z 88 strán, vzhľadom na oblasť, ktorú upravuje a množstvo inštitútov v ňom zakotvených je nutné konštatovať, že úprava obsiahnutá v nariadení je pomerne stručná. Nariadenie definuje najmä základné ciele, zásady, ktoré je potrebné pri ochrane osobných údajov dodržať tak, aby boli tieto údaje dôsledne chránené. Neustanovuje však presné detailné postupy, a to aj z toho dôvodu, že tieto postupy sa budú líšiť vždy v závislosti od kategórie spracovávaných údajov, rozsahu spracovávania, spôsobu spracovávania (manuálne, automatizovane) atď.

 

Práve z uvedených dôvodov v zmysle nariadenia GDPR bude každý spracovávateľ osobných údajov povinný zabezpečiť ich ochranu, aj keď jednotlivé bezpečnostné, technické či iné opatrenia budú vždy závisieť od špecifík toho ktorého spracovávateľa osobných údajov. Základnou požiadavkou je však vždy to, aby v dôsledku týchto opatrení boli osobné údaje chránené takým spôsobom a na takej úrovni, ako to ustanovuje nariadenie GDPR.

 

Aj z uvedených dôvodov preto možno každej firme v prvom rade odporučiť, aby dôsledne posúdila aké osobné údaje spracováva, akým spôsobom, ako sú v oblasti ochrany osobných údajov v súčasnosti vzdelaní zamestnanci, ktorý sa na tomto spracovávaní akýmkoľvek spôsobom podieľajú, ako sú chránené spracovávané údaje v informačných systémoch a pod. a v závislosti od toho prijali také opatrenia a v takom rozsahu, aby spĺňali všetky nové prísne požiadavky, ktoré sa začnú vyžadovať od 25.05.2018.

 

Niektoré firmy síce už v súčasnosti zabezpečujú ochranu spracovávaných osobných údajov na ďaleko vyššej úrovni, ako to vyžadujú jednotlivé právne predpisy, no nové nariadenie GDPR stanovuje toľko nových inštitútov (napr. právo na zabudnutie a pod.), že de facto sa zmeny v právnej úprave ochrany osobných údajov dotknú každej firmy spracovávajúcej osobné údaje.

 

Čo by mali firmy urobiť v rámci prípravy na toto nariadenie ako prvé?

 

Už v súčasnej slovenskej vnútroštátnej právnej úprave (vychádzajúcej okrem iného aj z európskej smernice, ktorú nové nariadenie GDPR nahrádza) existuje inštitút zodpovednej osoby. Tento inštitút bol prevzatý aj do nového nariadenia GDPR. Zodpovedná osoba je v novom právnom rámci pre mnoho spoločností kľúčovým inštitútom pre zabezpečenie súladu s ustanoveniami nariadenia.

 

Hoci nariadenie GDPR v zásade vyžaduje od spracovávateľov osobných údajov menovanie zodpovednej osoby len v prípade, ak spĺňajú pomerne prísne podmienky (napr. spracovávajú údaje vo veľkom rozsahu alebo vykonávajú pravidelné a systematické monitorovanie alebo ak spracovávajú osobitné kategórie osobných údajov atď.) jednoznačne odporúčame firmám menovať zodpovednú osobu aj v prípadoch, ak povinnosť menovať ju nemajú a investovať do nej, a to čím skôr.

 

Výber zodpovednej osoby by mal byť jedným z prvých krokov, keďže následne by mala práve táto zodpovedná osoba vykonávať a zabezpečiť všetky potrebné činnosti pre to, aby firma spĺňala od začiatku uplatňovania nariadenia všetky povinnosti stanovené nariadením.

 

Správne a dôsledné vykonávanie funkcie zodpovednou osobou skutočným odborníkom (nemusí byť interným zamestnancom, môže to byť aj externý subjekt) môže prispieť nielen k tomu, že osobné údaje budú skutočne chránené na vysokej úrovni tak, ako to predpovedá nariadenie GDPR ale môže ušetriť firmám v konečnom dôsledku mnohonásobne viac finančných prostriedkov oproti výdavkom na činnosť tejto osoby, keďže nariadením stanovené pokuty v prípade porušenia ustanovených povinností sa môžu vyšplhať do výšky (20 000 000 EUR alebo 4 % celkového svetového ročného obratu – podľa toho, ktorá suma je vyššia).

 

Samozrejme, je potrebné uvedomiť si, že ochrana osobných údajov sa vždy dotýka firmy ako celku, nie je možné konštatovať, že by išlo o oblasť, ktorá sa týka len určitých jednotiek firmy – oddelení a pod. Je napr. potrebné, aby v podstate každý zamestnanec firmy, ktorý zhromažďuje osobné údaje (napr. aj len opísaním údajov z občianskeho preukazu na recepcii firmy pri návšteve zákazníka) bol dôsledne poučený o presných postupoch spracovávania osobných údajov tak, aby boli dôsledne chránený. Nejde teda o oblasť, ktorá by sa týkala len určitého úzkeho okruhu osôb.


Autor
JUDr. Milan Ficek, advokát


Najnovšie články:
4,9 (4.969)
Martina Blašková

13. mája

Ďakujem za rýchlu odpoveď, pomohla mi do budúcna s riešením môjho problému, ľudský a profesionálny prístup, odporúčam !

recenzie

Vanesa Šebová

24. novembra

Veľmi mi pomohla advokátska kancelária pána advokáta JUDr. Milana Ficeka, ocitla som sa naozaj vo veľmi zložitej situácii s pani majiteľkou v byte, ktorý som si prenajímala a..

recenzie

Katarína Horváthová

11. júna

Ďakujem za odpoveď. Profesionálny prístup, odpoveď je vystižná a viem co mam očakávať pri konaní.

recenzie

Ondrej Kubica

11. februára

Ochotný a profesionálny prístup. Doporučujem!

recenzie

Tina Tóth

17. júna

Rýchla a profesionálna odpoveď, ktorá bola vysvetlená naozaj zrozumiteľným spôsobom aj pre niekoho, kto sa v právnych veciach nevyzná. Ušetrilo mi to nesmierne veľa času pri dohľadávaní informácií..

recenzie

Ján Šprlák

3. júla

Veľmi dobré a jednoduché vysvetlenie právnych vecí.... Odporúčam každému,kto potrebuje právnu pomoc...

recenzie

Dalma Beláková

14. októbra

Odpoveď na moju otázku bola dostatočná a vyčerpávajúca. V budúcnosti sa rada opätovne na túto advokátsku kanceláriu obrátim. Odporúčam v každom prípade, Beláková

recenzie

Martina Maťašovská

4. februára

Spokojnosť vo všetkých smeroch. Promptná reakcia na moje otázky, veľmi jasne vysvetlené ako so situáciou naložit a aké ďalšie kroky sú potrebné.

recenzie

Všetky recenzie
Chatbot
Dobrý deň,
volám sa Lexana a som virtuálna asistentka. Nižšie vyberte, s čím chcete pomôcť.