GDPR - Všeobecné nariadenie o ochrane osobných údajov

Owned by Former user (Deleted)
Last updated: kvě 28, 2018
5 min read


Čo je to GDPR?

GDPR (General Data Protection Regulation - Všeobecné nariadenie o ochrane osobných údajov) je nové nariadenie Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane osobných údajov pre firmy, inštitúcie, ale aj jednotlivcov a online služby spracovávajúci dáta užívateľov. Cieľom GDPR je poskytnúť občanom na území EÚ ochranu osobných údajov a kontrolu nad tým, čo sa s ich osobnýmu údajmi deje. Nariadenie výrazne zvyšuje práva fyzických osôb tzv. subjektov údajov.


Pre koho GDPR platí?

Nariadenie sa vzťahuje na každého, kde pracuje s osobnými údajmi Európanov vrátane spoločností a inštitúcií, ktoré pôsobia na európskom trhu. GDPR sa nevzťahuje na činnosti fyzických osôb v rámci čisto osobnej povahy alebo na príslušné orgány na účely prevencie, vyšetrovania, odhaľovania alebo stíhania trestných činov alebo výkonov trestov.

Odkedy GDPR platí?

GDPR začína platiť od 25. mája 2018 na celom území EÚ. V Slovenskej republike GDPR v súčasnosti platnú smernicu 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe údajov.

Sankcie

Za nedodržiavanie nariadení GDPR hrozia spracovateľom údajov vysoké pokuty. Tie majú byť účinné, primerané a odradzujúce. Pri hrubom porušení hrozí pokuta až do výšky 20 000 000 EUR alebo až do výšky 4% z celkového celosvetového ročného obratu spoločnosti.

Čo je z pohľadu GDPR osobný údaj?

Všeobecne možno povedať, že osobnými údajmi (ďalej len "OÚ") sú myslené všetky informácie vzťahujúce sa k identifikovanej alebo identifikovateľnej fyzickej osobe ( "subjekt údajov"). Prvky osobných údajov:

všeobecné - meno, vek, pohlavie, stav, dátum narodenia, občianstvo, fotografie, IP adresa atď.,

organizačné - adresa bydliska a zamestnania, telefónne číslo, e-mailová adresa, identifikačné údaje určené štátom atď.,

citlivé - špeciálna kategória, ktorú teraz ešte viac sprísnili - zdravotný stav, politická príslušnosť, genetické údaje, sexuálna orientácia, vierovyznania, biometrické údaje, osobné údaje detí atď ..

Do GDPR nespadajú anonymizované údaje a údaje o zosnulých osobách.
Zjednodušene možno povedať, že osobný údaj je všetko, podľa čoho sa dá daná osoba identifikovať.

Kto je subjektom osobných údajov?

Každá fyzická osoba, (tzn. koncový užívateľ, zákazník, alebo zamestnanec), ktorej osobné údaje sú spracovávané.

Kto je správcom osobných údajov?

Je to každý subjekt (bez ohľadu na právnu formu), ktorý určuje účely a prostriedky spracovania, vykonáva a zodpovedá za spracovanie osobných údajov. Správca môže spracovaním poveriť tretiu osobu ( "spracovateľa").

Kto je spracovateľom osobných údajov?

 Je to, podľa GDPR, každá fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje pre správcu.

Pojem spracovávanie údajov

Pojmom spracovanie v zmysle GDPR je myslená operácia alebo súbor operácií s osobnými údajmi alebo súborami osobných údajov vykonávaných pomocou alebo bez automatizovaných postupov ako zhromažďovanie (zber dát), zaznamenávanie (zápis dát), usporiadanie (organizácia dát), štruktúrovanie (zápis dát podľa štandardov ), uloženie (uchovanie dát), prispôsobenie alebo pozmenenie (úpravy dát), vyhľadanie (nájdenie dát), nahliadnutie (možnosť pozrieť sa na dáta), použitie (aplikácia dát), sprístupnenie prenosom (odovzdanie dát elektronickou formou), šírenie (poskytnutie dát), zoradenie či skombinovanie (triedenie dát), obmedzenie (práca len s určitými dátami), vymazanie alebo zničenie (vymazanie osobných údajov).

Spracovanie osobných údajov detí, je možné len so súhlasom zákonného zástupcu.

Ako spracovávať osobné údaje v súlade s GDPR?

Aby boli osobné údaje spracovávané v súlade s GDPR musí byť splnená jedna z nasledujúcich podmienok:

  • subjekt údajov dal súhlas so spracovaním osobných údajov,
  • spracovanie je nevyhnutné pre splnenie zmluvy,
  • spracovanie je nevyhnutné na vyhovenie právnej / zákonnej povinnosti,
  • spracovanie je nevyhnutné na ochranu životne dôležitých záujmov subjektu údajov,
  • spracovanie je vo verejnom záujme alebo pri výkone verejnej moci,
  • spracovanie je v oprávnenom zájme správcu alebo tretej strany.

Súhlas so spracovaním osobných údajov

Ak sú dáta spracovávané na základe súhlasu, musí byť správca schopný kedykoľvek doložiť, že mu dotknutá osoba dala súhlas so spracovaním osobných údajov. Súhlas so spracovaním osobných údajov musí byť slobodný, konkrétny, informovaný, jednoznačný a ničím nepodmienený. Znenie súhlasu so spracovaním osobných údajov musí byť zrozumiteľné, jasné za použitia jednoduchého jazyka a nemalo by obsahovať neprimerané podmienky. Dotknutá osoba môže svoj súhlas kedykoľvek odvolať. Avšak je nutné si uvedomiť, že súhlas so spracovaním osobných údajov bol poskytnutý na určité účely a odvolanie súhlasu nemusí vždy predstavovať pre správcov povinnosť osobné údaje zlikvidovať.

Práva subjektov údajov

Subjekt údajov čiže fyzická osoba má v súvislosti s GDPR:

  • právo prístupu ku všetkým svojim údajom - subjektu údajov musí byť umožnené získať potvrdenie, či sú alebo nie sú udaje spracované, na aký účel sú dáta spracovávané, má právo vedieť o aké kategórie údajov ide, komu budú sprístupnené a plánovanú dobu, po ktorú budú údaje uložené. Dotknutá osoba má tiež možnosť podať sťažnosť príslušným dozorných orgánov.


Právom na prístup nesmú byť dotknuté práva ostatných osôb napr. obchodné tajomstvo.


  • právo na opravu údajov - subjekt údajov môže kedykoľvek požiadať o opravu poskytnutých údajov. Správca dát musí dáta bez odkladu opraviť alebo doplniť.
  • právo na obmedzenie spracovania - subjekt údajov má právo na obmedzenie spracovania dát napríklad keď je spracovanie protiprávne alebo keď správca už osobné údaje nepotrebuje.
  • právo na prenosnosť údajov - subjekt údajov má právo kedykoľvek získať údaje poskytnuté správcovi údajov a tieto odovzdať inému správcovi.
  • právo namietať - subjekt údajov má právo namietať na spracovanie osobných údajov a prinútiť tak správcu dane k obmedzenému spracovaniu dát.
  • právo na vymazanie údajov (právo byť zabudnutý) - subjekt údajov má za určitých podmienok stanovených v nariadení, právo vzniesť požiadavku na vymazanie údajov. Správca dát má povinnosť tieto údaje bez odkladu vymazať vzhľadom na zákonné povinnosti evidencie.

Povinnosti správcu dát (inštitúcií a firiem) voči GDPR

Správca dát musí zaviesť primerané technické a organizačné opatrenia, aby zabezpečil a bol schopný doložiť, že spracovanie je v súlade s nariadením. Zároveň dohliadne na to, aby spracovával iba tie osobné údaje, ktoré sú pre daný účel nevyhnutne nutné.

Najvýznamnejšie technické opatrenia, ktoré bude nutné realizovať sú najmä nasledovné:

  • spracovanie osobných údajov iba na legitímne účely a len po nevyhnutne potrebný čas,
  • logovanie udelených súhlasov so spracovaním osobných údajov,
  • anonymizácia OÚ - anonymizované údaje sú také údaje, pomocou ktorých nemožno identifikovať subjekt údajov,
  • pseudonymizácia OÚ - spracovanie osobných údajov takým spôsobom, aby nemohli byť priradené konkrétnej osobe bez použitia ďalších informácií,
  • "Inteligentné" vyhľadávanie a mazanie vybraných osobných údajov (právo byť zabudnutý),
  • nastavovanie prístupových oprávnení k OÚ,
  • obnova dostupnosti osobných údajov a prístupu k nim včas v prípade fyzických či technických incidentov (riadenie zálohovania a plány obnovy dát po havárii IS / IT),
  • pravidelné testovanie, posudzovanie a hodnotenie minimalizácie spracovávaných OÚ,
  • zaisteniu integrity, presnosti OÚ,
  • ohlasovanie porušenia zabezpečenia OÚ ( "incident management") - správca dát má po novom povinnosť oznámiť porušenie ochrany dát do 72 hodín príslušnému ÚOOÚ (Úrad na ochranu osobných údajov) a takisto dotknutej fyzickej osobe,
  • prístup k OÚ a ich prenositeľnosť (poskytnúť subjektom právo na výpis, vymazanie a prenos).

Ako začať?

K naplneniu požiadaviek GDPR odporúčame pristúpiť komplexne.

  • Vykonajte analýzu všetkých firemných procesov kde dochádza k nakladaniu s osobnými údajmi.
  • Zistite, čo znamená GDPR pre vašu organizáciu, nechajte si urobiť od špecializovanej firmy tzv. "Rozdielový audit", tzn. audit súčasného stavu Vašich systému vzhľadom k plneniu požiadaviek GDPR.
  • Odporúčame, na základe tejto vstupnej analýzy, nechať si urobiť analýzu vplyvu na OÚ a spracovať si súbor opatrení, ktorý znižuje Vaše riziká vzhľadom ku spracovávaným OÚ.
  • Urobte potrebné zmeny zabezpečenie dát vrátane úprav IT systémov.
  • Zabezpečte svoje dáta proti úniku a zaistite všetky potrebné záznamy
  • Zaistite súhlasy na spracovanie osobných údajov od všetkých subjektov osobných údajov, ktorých informácie uchovávate a spracovávate v informačnom systéme.


Niektoré požiadavky sú jednoduché a zvládnete ich sami. Tie zložitejšie budú vyžadovať aj externú pomoc od skúsenej firmy z oblasti GDPR. Bude to znamenať nielen zmenu smerníc a postupov, ale aj zásah do vami používaných a prevádzkovaných informačných systémov (ERP, CRM atď.) Termín pre všetky kroky je 25. mája 2018, kedy nariadenie GDPR vojde do platnosti.


Upozorňujeme, že Premier system nie je odborníkom na zavádzanie GDPR v praxi a teda nemôže poskytovať odborné rady k tejto téme, s výnimkou aplikácie funkcií, ktorými podporuje plnenie požiadaviek GDPR. Tieto môžete nájsť tu.


Úplné znenie GDPR