Pripravujete sa na GDPR? Nie ste sami

Záhadné štyri písmená – GDPR  –  na nás v posledných mesiacov vyskakujú z každej strany. Viete, čo vlastne znamenajú?

Pod touto tajomnou skratkou (GDPR = General Data Protection Regulation) sa ukrýva Nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov. Nariadenie bolo vydané už v roku 2016, avšak účinnosť nadobúda až 25. mája 2018. Keďže ide o Nariadenie Európskeho parlamentu a Rady EÚ, nie je potrebná nová legislatíva v jednotlivých členských štátoch. Napriek tomu, Nariadenie umožňuje členským štátom upraviť si vybrané oblasti ochrany osobných údajov národnou legislatívou. Slovenská republika túto možnosť využila a od mája nás čaká nový zákon o ochrane osobných údajov.

Koho sa GDPR dotýka?

Nové pravidlá ochrany osobných údajov tak dopadnú na každého, kto pri svojom podnikaní pracuje s osobnými údajmi. Pri tom nezáleží vôbec na množstve spracovávaných osobných údajov. Aj v prípadoch, keď firma spracováva osobné údaje jedného zákazníka alebo zamestnáva 1 zamestnanca, musí zo zákona tieto údaje chrániť. GDPR upravuje ochranu osobných údajov fyzických osôb. Zavádza pre podnikateľov nové pravidlá, ako majú s osobnými dátami pracovať a ako pristupovať k ich ochrane.

Kto je kto v procese spracovania osobných údajov?

Fyzické osoby, ktorých osobné údaje sa spracovávajú, zákon nazýva dotknuté osoby. Môže ísť o zamestnancov, zákazníkov či návštevníkov webu. Ten, kto údaje spracováva, napr. zamestnávateľ či podnikateľ, vystupuje v pozícii prevádzkovateľa. V prípade, že niekto iný spracováva osobné údaje v mene prevádzkovateľa, tak ide o sprostredkovateľa. Typickým príkladom sprostredkovateľa je účtovná firma, ktorá vedie mzdové účtovníctvo externe.

Posilnenie práv pre dotknuté osoby

Po novom sa fyzickým osobám dostávajú do rúk nové práva, ako napr. právo na prístup, právo na výmaz či právo na prenosnosť osobných údajov.

Právo na prístup umožňuje fyzickým osobám získať od prevádzkovateľov informácie o tom, aké údaje o nej spracovávajú, aký je účel spracovania, či kto má k údajom prístup.
Právo na výmaz umožňuje dotknutej osobe žiadať o výmaz jej osobných údajov. Toto právo však nie je absolútne. K výmazu môže prevádzkovateľ pristúpiť až vtedy, ak neexistuje právny dôvod pre spracovávanie osobných údajov. Ak zamestnanec požiada o výmaz osobných údajov, zamestnávateľ mu nemôže v plnom rozsahu vyhovieť, keďže mnohé údaje musí zo zákona archivovať.
Právo na prenos údajov umožňuje dotknutým osobám preniesť svoje údaje od jedného prevádzkovateľa k inému, pričom údaje majú byť v štruktúrovanom a strojovo čitateľnom formáte.

Princíp zodpovednosti

Nariadenie zakotvuje princíp zodpovednosti. Prevádzkovatelia a sprostredkovatelia, bez ohľadu na ich veľkosť či počet zamestnancov, majú zaviesť technické, organizačné a procesné opatrenia za účelom preukázania súladu s pravidlami podľa GDPR. Splnenie povinností, ktoré firmám vyplývajú zo zákona,  si bude vyžadovať časové ako aj finančné investície. Týka sa to najmä týchto oblastí:

  • zavedenie opatrení, ktoré zabezpečia primeranú a nevyhnutnú ochranu osobných údajov,
  • vedenie a pravidelná aktualizácia záznamov o spracovateľských činnostiach,
  • vypracovanie dokumentácie Posúdenie vplyvu na ochranu osobných údajov,
  • vymenovanie Zodpovednej osoby (DPO – Data Protection Officer) buď zo zákona alebo na báze dobrovoľnosti,
  • povinnosť prevádzkovateľa v niektorých prípadoch požiadať o konzultáciu Úrad na ochranu osobných údajov.

Ak vás podrobnejšie zaujíma téma GDPR, pripravujeme pre vás seriál článkov k problematike osobných údajov. Sledujte náš blog alebo Facebook a dozviete sa viac. 

Komentáre k článku:

Súvisiace témy k článku:
      
KROS
Share via