Si advokát? Chceš napredovať v kariére? Nezmeškaj príležitosť stať sa súčasťou prestížnej advokátskej kancelárie!
Klikni sem pre viac informácií.
Máte
otázku?

Ochrana osobných údajov GDPR 2018 časť 2.

Zdroj: https://www.enisa.europa.eu

Aké sú najčastejšie nedostatky firiem pri spracovaní osobných údajov?

 

Za pravdepodobne jeden z najväčších problémov v súčasnosti v oblasti ochrany osobných údajov považujem to, že mnohé firmy sa snažia spĺňať zákonom stanovené povinnosti v tejto právnej oblasti len formálne. Teda mnohé firmy síce majú vypracované a formálne prijaté napr. bezpečnostné opatrenia, interné akty zamerané na ochranu osobných údajov spracovávaných v informačných systémoch firmy a pod., no de facto sa nedodržiavajú.

 

Aj zo strany orgánov dohľadu je preto dôležité, aby sa v budúcnosti zameriavali nielen na to, či formálne vie tá ktorá firma preukázať, že prijala všetky potrebné opatrenia zamerané na ochranu osobných údajov na zákonom požadovanej úrovni, ale aj to, či sa reálne dodržiavajú, či sú s nimi oboznámené relevantné osoby a pod. Aj na tieto skutočnosti by mohla a mala dozerať aj zodpovedná osoba.

 

Firmy by sa preto mali zamerať na to, aby aj k novému nariadeniu GDPR nepristúpili len formálne a formálne sa snažili dodržať stanovené povinnosti, ale s cieľom skutočného uplatňovania v praxi tak, aby ochránili osobné údaje svojich klientov, partnerov a pod.

 

Upravuje nariadenie ochranu osobných údajov špecificky pre rôzne typy firiem? (napr. internetové, kamenné obchody, personálne, pracovné agentúry, malé a stredné firmy, živnostníci, jednoosobové eseročky)

 

Čo sa týka rád uvedeným rôznym druhom subjektov v oblasti novej právnej úpravy ochrany osobných údajov je nutné uviesť, že rady týmto subjektom nie sú v ničom špecifické oproti už vyššie uvedeným.

 

Totiž, ako je uvedené už v odpovediach na predchádzajúce otázky, nariadenie GDPR sa nezameriava na stanovenie povinnosti pri ochrane osobných údajov v závislosti na tom, aký subjekt je spracovávateľom týchto osobných údajov. Uvedené súvisí s tým, že cieľom nariadenia GDPR je chrániť osobné údaje, a to bez ohľadu na to, aký subjekt ich spracováva. Nariadenie GDPR je založené na princípe, že čím citlivejšie osobné údaje sú spracovávané, tým sú kladené vyššie požiadavky a širší rozsah povinností na ich spracovávateľov. Napríklad, povinnosť vykonávať posúdenie vplyvu či povinnosť menovať zodpovednú osobu majú spracovávatelia, ktorý spracovávajú buď veľmi citlivé osobné údaje alebo spracovávajú osobné údaje vo veľkom rozsahu a pod.

 

Spracovávať veľmi citlivé údaje však môže napr. aj malá firma (jednoosobová s.r.o. a pod.), naopak naproti tomu aj firma s niekoľkými desiatkami zamestnancov môže zasa spracovávať len základné osobné údaje. Ak by nariadenie rozlišovalo pri stanovení povinnosti podľa kritérií založených na spracovávateľovi, veľmi ťažko by sa dosahoval cieľ nariadenia – poskytnúť vysokú právnu ochranu osobným údajom. Z tohto hľadiska je úpravu nového nariadenia GDPR hodnotiť veľmi pozitívne, keď to, či spracovávateľ osobných údajov má tú-ktorú povinnosť nezáleží na tom, v akej oblasti podniká, či na jeho veľkosti, ale predovšetkým na tom, aké osobné údaje, v akom rozsahu či akým spôsobom sú spracovávané.

 

Aké sú podmienky pre firmy, ktoré outsorcujú agendu v iných krajinách?

 

Naopak, to, či firma outsorcuje agendu aj v iných krajinách už môže mať vplyv na vznik ďalších povinností firme, ktorá spracováva osobné údaje a súčasne outsorcuje svoju agendu aj v iných krajinách.

 

Dôležité však je, či firma outsorcuje agendu v inom členskom štáte Európskej únie alebo v treťom štáte. Ak ide o prenos osobných údajov v rámci Európskej únie, na tento prenos nie sú kladené z hľadiska požiadaviek na subjekty spracovávajúce osobné údaje osobitné požiadavky. Nariadenie GDPR je priamo aplikovateľným právnym aktom, ktorý sa bude uplatňovať vo všetkých členských štátoch Európskej únie.

 

Z uvedeného teda následne vyplýva, že pri cezhraničnom prenose osobných údajov v rámci členských štátov Európskej únie je dodržiavaná rovnaká právna ochrana osobných údajov, keďže na spracovávateľov (ktorými sú aj firmy outsorcujúce činnosti pre firmu v inom členskom štáte, ak sa pri outsorcovaní činnosti spracúvajú aj osobné údaje poskytnuté firmou z iného členského štátu) sú v rámci Európskej únie kladené rovnaké požiadavky. Jedným z cieľom nariadenia GDPR bolo aj uľahčenie cezhraničného prenosu osobných údajov v rámci Európskej únie, čo súvisí a je dôležité pre čoraz väčšie prepojenie jednotlivých trhov a vytváraním jednotného európskeho trhu.

 

V prípade, ak by sa ale mali hoci len za účelom outsorcovania určitých činností prenášať spracovávané osobné údaje do tretieho štátu (teda mimo Európskej únie), na takýto prenos sú už kladené veľmi prísne požiadavky ako aj postupy. Cieľom zavedenia týchto požiadaviek je to, aby sa osobné údaje občanov a obyvateľov jednotlivých členských štátov Európskej únie prenášali len z hľadiska ochrany osobných údajov bezpečných krajín – teda takých, v ktorých bude zaručená primeraná úroveň ochrany s tou, ktorá je poskytovaná osobným údajom v Európskej únii.

 

V tejto oblasti bude osobitnú úlohu zohrávať Európska komisia, ktorá bude môcť vykonávacími aktmi stanoviť, že určitá krajina, územie, či určité subjekty zabezpečujú osobným údajom primeranú úroveň ochrany a že do týchto krajín či území je možné osobné údaje preniesť. V prípade, ak bude chcieť preniesť firma osobné údaje do krajiny, vo vzťahu ku ktorej Európska komisia nevyhlásila, že zabezpečuje primeranú úroveň ochrany, bude ich môcť firma preniesť len v prípade, ak poskytne primerané záruky za tento prenos. Porušenie týchto povinností je taktiež veľmi prísne sankcionované pokutami.

 

Záverečné odporúčanie 

 

Na záver možno odporučiť firmám v oblasti ochrany osobných údajov podľa nového nariadenia GDPR nasledovné rady:

 

  1. Ustanoviť zodpovednú osobu aj v prípade, ak podľa nariadenia GDPR firma nie je povinná tak urobiť.
  2. Vyvinúť maximálne úsilie smerujúce k tomu, aby sa povinnosti stanovené nariadením GDPR firma nesnažila dodržiavať len formálne, ale aby ich dôsledne dodržiavala v každodennej praxi.
  3. Investovať do kvalitného zabezpečenia ochrany osobných údajov spracovávaných v informačných systémoch.
  4. Dodržiavať pravidlo – čím citlivejšie osobné údaje sú spracovávané, tým viac bezpečnostno-technických opatrení pri ich spracovávaní je nutné prijať.
  5. Dôsledne vykonávať aj v rámci firmy vnútornú kontrolu nad dodržiavaním pravidiel ochrany a spracovávania osobných údajov.
  6. Spracovávať vždy len tie osobné údaje, ktoré sú naozaj nevyhnutné za účelom poskytnutia tej-ktorej služby, dodania výrobku a pod.
  7. V prípade akýchkoľvek podozrení z možného vyzradenia či zneužitia osobných údajov neoprávnenými osobami spolupracovať s príslušnými orgánmi dozoru nad dodržiavaním nariadenia GDPR a vykonávacích predpisov za účelom predídenia ešte väčším škodám, ktoré by mohli nastať pri pokusoch o zamlčenie uvedených bezpečnostných incidentov.
  8. Nepodceniť obdobie prechodu k uplatňovaniu nového nariadenia GDPR, ale využiť rady právnikov špecializujúcich sa na ochranu osobných údajov a konzultovať s nimi vypracovanie nových vnútorných dokumentov, nové povinnosti, spôsob, ako ich splniť a pod. Sankcie za porušenie jednotlivých povinností ustanovených novým nariadením GDPR môžu byť totiž pre drvivú väčšinu firiem až likvidačného charakteru.

Autor
JUDr. Milan Ficek, advokát


Najnovšie články:
4,9 (4.969)
Dana Medzihradská

21. septembra

Vyjadrujem veľkú spokojnosť. Je to advokátska kancelária na vysokej úrovni. Nesmierne si vážim ľudský prístup JUDr. Ficeka..

recenzie

Peter Slavkovský

16. januára

Som naozaj nadmieru spokojný...profesionálny prístup, absolútne korektné jednanie, pri jednej z mojich otázok vypracovanie a zaslanie odpovede na doplňujúce otázky..

recenzie

Daniela G

13. augusta

Mám len výborné skúsenosti. Či už s bezplatnou poradnou, ale aj s telefonickou konzultáciou. Profesionáli na správnom mieste, a verím, že sme so spoluprácou ešte neskončili..

recenzie

Martina Blašková

13. mája

Ďakujem za rýchlu odpoveď, pomohla mi do budúcna s riešením môjho problému, ľudský a profesionálny prístup, odporúčam !

recenzie

Božka Václavová

4. mája

Ďakujem srdečne za rýchlu odpoveď. Veľmi ste mi pomohli. Už len veriť, že sa môj problém skončí v súlade so zákonom. Profesionálne jednanie má veľmi vysokú úroveň. Rada vás budem odporúčať

recenzie

Klaudia Lovíšková

9. decembra

Veľmi ľudský prístup, poradia a pomôžu.

recenzie

Zlatica Fulajtárová

17. januára

Veľmi oceňujem ponúknutú možnosť, obrátiť sa na odborníka online. Odpoveď som dostala v krátkom čase a veľmi mi pomohla, ďakujem a odporúčam.

recenzie

Radoslav Chrkavý

25. novembra

Veľmi som bol spokojný s flexibilným, odborným a pro-klientským prístupom. Ozaj super odvedená komplexná práca. Silne doporučujem každému, kto očakáva 100%-nú kvalitu..

recenzie

Všetky recenzie
Chatbot
Dobrý deň,
volám sa Lexana a som virtuálna asistentka. Nižšie vyberte, s čím chcete pomôcť.