Dôležité zmeny v zákone o ochrane osobných údajov

Podnikateľov čakajú nové povinnosti, zmeny dokumentov a úpravy procesov. Za ignorovanie zákona hrozia likvidačné pokuty!

V súčasnosti sa na Slovensku pripravuje nový zákon o ochrane osobných údajov, ktorý bude zohľadňovať požiadavky nariadenia GDPR - General Data Protection Regulation a bude účinný od 25. mája 2018. Týkať sa bude všetkých podnikateľov, ktorí spracovávajú osobné údaje. Nezáleží, či ide o osobné údaje zamestnancov alebo zákazníkov. Viacero povinností pribudne aj tzv. sprostredkovateľom, teda firmám, ktoré spracovávajú osobné údaje iných firiem (účtovníci, právnici, informatici, reklamné agentúry a iné).

GDPR považuje za osobný údaj také informácie, ktorými možno priamo alebo nepriamo identifikovať konkrétnu fyzickú osobu. Typicky sú osobnými údajmi meno a priezvisko, rodné číslo, číslo občianskeho preukazu. Niektoré údaje ako e-mail a telefónne číslo, môžu, ale aj nemusia byť osobnými údajmi. Záleží na tom, či sa na základe nich, či ich kombinácie dá priamo alebo nepriamo (pomocou tretej osoby) zistiť, o akú osobu ide. Obdobne to platí pri telefónnom čísle.

Do kategórie osobných údajov patria aj rôzne pseudononymizované údaje, pri ktorých existuje možnosť identifikácie osoby prostredníctvom tretích osôb. Ďalšími osobnými údajmi môže byť:

•    Fotografia,

•    Odtlačok prsta,

•    Hlas,

•    Číslo účtu,

•    Lokalizačné údaje.

Nová maximálna pokuta, ktorú bude možne udeliť bude 20 miliónov eur, resp. 4% celosvetového firemného obratu z predchádzajúceho roka (pri pokute sa berie vyššia suma). Aby toho nebolo málo, okrem finančnej pokuty možno udeliť aj nefinančné pokuty a to, nariadenie na výmaz osobných údajov, informovanie dotknutej osoby, zákaz spracovania údajov a pod.

Z dôvodu rozšírenia definície osobného údaju bude náročnejšie získať súhlas na spracovanie údajov. Súhlas musí byť konkrétny, slobodný, informovaný a jednoznačný. Tento súhlas je nutné vedieť preukázať v prípade potreby. V prípade formulárov na webových stránkach možno implementovať zaškrtávacie políčko. Bez jeho zaškrtnutia by nemalo byť možne odoslať formulár. Pozor, políčko nemôže byť automaticky zaškrtnuté! Pri zbere e-mailových adries je potrebné posielať potvrdzujúci e-mail na overenie súhlasu. Osoba, ktorá uviedla súhlas, musí mať možnosť kedykoľvek odvolať svoj súhlas. O tejto skutočnosti musí byť informovaná pred udelením súhlasu. Odvolanie súhlasu musí byť rovnako jednoduché ako jeho udelenie. Po novom by mal byť implementovaný formulár na zrušenie súhlasu so spracovaním osobných údajov. Ak vaše súhlasy nebudú spĺňať požiadavky GDPR, bude potrebné ich získať opätovne.

V súčasnosti pozná zákon o ochrane osobných údajov pojem právo na výmaz. Po novom bude toto právo upravené detailnejšie. To predstavuje zlú správu pre prevádzkovateľov webov, ktorí takéto údaje zbierajú. Keď užívateľ požiada o výmaz, poskytovateľ musí posúdiť oprávnenosť žiadosti. Ak sú splnené všetky podmienky na výmaz, musí vymazať tieto dáta nielen on, ale musí o tejto žiadosti informovať aj iných spracovávateľov, ktorí tieto údaje spracúvajú. Našťastie sa nezabudlo na zdravý rozum a existuje výnimka primeranosti, ktorá hovorí, že nie je nutné vyhovieť tejto žiadosti, ak by to bolo finančne alebo technicky náročné.

Nová povinnosť hovorí o potrebe ochrany osobných údajov už pri návrhu nových projektov. Firmy by mali zvážiť, aké údaje a na ako dlho ich potrebujú a či ich nie je možné pseudonymizovať (úprava dát, pri ktorej nie je možné zistiť konkrétne informácie bez dodatočnej pomocnej informácie). Bude potrebné vypracovať dokument o dopade na osobné údaje. V dokumente by mali byť uvedené aj scenáre rôznych prípadov.

V súčasnosti nemajú firmy povinnosť informovať o incidentoch (strata, krádež údajov) súvisiacich s porušením osobných údajov. Po novom bude potrebné nahlasovať všetky incidenty dozornému orgánu (Úrad na ochranu osobných údajov SR) do 72 hodín od zistenia incidentu. V najzávažnejších prípadoch je prevádzkovateľ a sprostredkovateľ povinný informovať aj dotknutých jednotlivcov. Musí to urobiť zrozumiteľnou a jednoduchou terminológiou. Existuje však možnosť ako sa vyhnúť informovaniu dotknutých jednotlivcov. Stačí implementovať primerané bezpečnostné opatrenia, typicky šifrovanie. Tým splníte viacero požiadaviek GDPR a zvýšite bezpečnosť vo firme.

Firma môže mať už aj v súčasnosti určenú zodpovednú osobu. Vyhne sa tým povinnosti informovať Úrad na ochranu osobných údajov SR, o systémoch obsahujúcich osobné údaje. Tu patria napríklad aj systémy na zbieranie a ukladanie e-mailových adries na posielanie noviniek, tzv. newsletter.

Povinne musia mať určenú zodpovednú osobu nasledovné subjekty:

•    Orgány verejnej moci alebo verejnoprávne subjekty za predpokladu, že vykonávajú spracúvanie osobných údajov.

•    Firmy, ktorých hlavnou činnosťou sú spracovateľské operácie, vyžadujúce pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu.

•    Firmy, spracovávajúce osobitné kategórie údajov ako biometrické údaje, údaje o pôvode, náboženstve, orientácií a pod., vo veľkom rozsahu alebo spracúva osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

GDPR dovoľuje firmám nominovať za zodpovednú osobu aj právnickú osobu (právnická osoba i naďalej musí stanoviť konkrétnu fyzickú osobu). Tým sa podnikateľ vyhne čiastočnej byrokracii. Zodpovednosť za plnenie povinností vyplývajúcich z GDPR a zákona stále nesie samotná firma a nie zodpovedná osoba. Zodpovedná osoba má mať zverejnené kontaktné informácie na dostupnom mieste, ideálne na webovej stránke. Na zachovanie princípu autonómnosti práce tejto osoby, nie je možné uvádzať ako telefonický kontakt všeobecné firemné číslo, typicky spojovateľku, sekretárku. Rovnaký princíp platí pre e-mailovú adresu. Adresa info@nazovfirmy.sk nie je vhodná.

Administratívne náročnou povinnosťou bude prenos údajov od jedného prevádzkovateľa ku druhému. Dotknutá osoba môže požiadať o transfer osobných údajov a prevádzkovateľ to musí zabezpečiť bez odkladu, zadarmo, bezpečne a ešte aj v čitateľnej a štruktúrovanej podobe. Prevádzkovateľ musí jednotlivca o tejto skutočnosti informovať. Typickým prípadom kedy môže jednotlivec požiadať o prenos údajov je uzatvorenie účtu. To by z technického hľadiska nemal byť v súčasnosti problém. Mnohé systémy disponujú možnosťou importu a exportu dát.

Veľká zmena čaká všetkých sprostredkovateľov, ktorí spracúvajú osobné údaje pre svojich klientov. Typicky ide o účtovníkov, právnikov a iné firmy, vykonávajúce externú činnosť pre našu firmu (za podmienky spracúvania osobných údajov). Od konca mája 2018 budú mať sprostredkovatelia viacero povinností, napr.:

•    Upraviť zmluvu s prevádzkovateľom.

•    Implementovať primerané bezpečnostné opatrenia ako pseudonymizácia a šifrovanie.

•    Viesť zoznam spracovateľských operácií pre konkrétneho klienta.

•    Nutnosť informovať prevádzkovateľa v prípade porušenia osobných údajov.

Prenos do zahraničia zahŕňa širokú množinu prípadov od posielania databáz s osobnými údajmi cez zdieľanie citlivého dokumentu kolegovi do Afriky až po udelenie prístupu do interného systému technickej podpore z Indie. Podľa cieľovej krajiny je potrebné podpisovať rôzne, niekoľkostranové zmluvy a dohody.

Toto pravidlo sa týka prevádzkovateľov, resp. poskytovateľov, pôsobiacich vo viacerých krajinách. Podstata pravidla je v tom, kto rieši dozor nad danou spoločnosťou. GDPR pozná vedúci orgán a dotknuté dozorné orgány. Vedúci orgán má skôr koordinačnú úlohu a rieši najzložitejšie prípady. Spravidla sa bude nachádzať v štáte, v ktorom má spoločnosť hlavné sídlo. Dotknutých dozorných orgánov je viac. Sú to dozorné orgány každej krajiny. Na území SR to je Úrad na ochranu osobných údajov SR.