GDPR

30. januára nadobudol platnosť nový zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nadobudne účinnosť 25. Mája 2018. Slovenská republika týmto zákonom reagovala na nariadenie EP a rady EU o ochrane údajov, ktorá je známa aj pod skratkou GDPR (General Data Protection Regulation). My vo VGD SLOVAKIA sa dôsledne pripravujeme na zabezpečenie plného súladu našej spoločnosti s týmto zákonom a smernicou.

O jednotlivých krokoch našej spoločnosti v tomto kontexte sú naši klienti informovaný individuálne, napríklad vo forme návrhu zmluvy o spracovaní osobných údajov alebo informáciou o zavádzaní nových nástrojov pre bezpečnú výmenu údajov a vzájomnú komunikáciu. Dopad tohto nariadenia na činnosť jednotlivých firiem a spoločností je veľmi individuálny, pretože aj rozsah zbieraných osobných údajov a účely ich použitia sú pre jednotlivé firmy individuálne. Rozhodli sme sa Vám preto týmto newsletterom priniesť základnú informáciu o zmenách v tejto oblasti, konkrétne dopady na činnosť Vašich spoločností však musia byť predmetom hlbšej analýzy vo Vašich konkrétnych podmienkach.

1. ZJEDNOTENIE PRAVIDIEL OCHRANY OSOBNÝCH ÚDAJOV V EU

Štáty Európskej únie sa rozhodli spoločne riešiť ochranu údajov a súkromia  všetkých svojich občanov. Za týmto účelom bolo 27. apríla 2016 schválené Všeobecné nariadenie o ochrane údajov (General Data Protection Regulation - GDPR), ktoré nadobudne účinnosť 25. mája 2018. Forma nariadenia (regulation) znamená, že je priamo záväzné a aplikovateľné vo všetkých štátoch Európskej únie bez potreby jeho zapracovania do lokálnych legislatív jednotlivých štátov.

Okrem iných bola dôvodom pre vydanie nariadenia potreba čeliť novým výzvam ochrany súkromia, napríklad:

  • pri online marketingu a obchodovaní s osobnými údajmi;
  • pri zdieľaní informácií na sociálnych sieťach;
  • vývoz osobných údajov do štátov mimo Európskej únie;
  • nové práva ochrany súkromia občanov v digitálnom priestore. 

2. VYBRANÉ ZMENY, KTORÉ PRINÁŠA GDPR

Pripomíname, že vydaním nariadenia dochádza k zjednoteniu pravidiel v rámci celej EU a v súvislosti s tým dochádza k zmenám podmienok a pravidiel aj v Slovenskej Republike.

Oblasť ochrany osobných údajov je však v SR pomerne rozsiahlo riešená aj v súčasnosti.

Vyberáme preto tie oblasti, kde dochádza k významnejším zmenám v porovnaní zo súčasným stavom.

Vybrané nové povinnosti a zmeny v súčasných:

  • rozšírenie pojmu osobný údaj (napr. aj e-mail, IP adresa, cookies na web stránkach);
  • povinnosť nahlásiť narušenie či únik osobných údajov do 72 hodín;
  • právo fyzických osôb byť zabudnutý (na žiadosť vymazať všetky evidované osobné údaje);
  • sprísnenie podmienok na udelenie súhlasu so spracovaním osobných údajov;
  • rozšírenie povinností sprostredkovateľov;
  • zmeny pri spracovaní fotografií a pri prevádzkovaní kamerových systémov;

Zrušenie niektorých aktuálnych povinností:

  • ruší sa oznamovanie a registrácia informačných systémov úradom pre ochranu osobných údajov, nahrádza sa povinnosťou vedenia záznamov;
  • ruší sa povinnosť vypracovania bezpečnostného projektu, ktorá sa nahrádza povinnosťou posúdiť vplyv na ochranu osobných údajov (bezpečnostná analýza);

3. SANKCIE

Zvyšujú sa sankcie, ktoré môže uložiť úrad pre ochranu osobných údajov až do výšky 20 Mil. EUR alebo 4% celosvetového obratu (vrátane spriaznených spoločností) podľa toho ktorá z vypočítaných sankcií by bola vyššia;

4. ZODPOVEDNÁ OSOBA – DPO (DATA PROTECTION OFFICER)

Aj súkromné spoločnosti môžu zriadiť pozíciu zodpovednej osoby, ak ich hlavné činnosti sa týkajú spracovania osobných údajov. V takomto prípade sa vyžaduje pravidelné a systematické monitorovanie dotknutých osôb.

Osoba s odbornými znalosťami o práve a postupoch na ochranu údajov by mala pomôcť kontrolórovi alebo spracovateľovi monitorovať vnútorný súlad s GDPR nariadením.

5. DIGITÁLNE PRÁVA OBČANOV EU V DIGITÁLNEJ EKONOMIKE

  • Právo dostať jasné a zrozumiteľné informácie o tom, kto spracováva údaje občana, aké údaje sú spracovávané a na aký účel;
  • Právo poskytnúť na požiadanie prístup k osobným údajom, ktoré má o občanovi daná organizácia;
  • Právo „byť zabudnutý“. Občan môže požiadať o vymazanie svojich osobných údajov, ak si už viac neželá ich spracúvanie;
  • Právo požiadať jedného poskytovateľa služieb, aby previedol osobné údaje občana inému poskytovateľovi služieb;
  • Ak dôjde k strate alebo krádeži osobných údajov občania majú právo byť o tom informovaný.

6. ODPORÚČANÉ KROKY PRE ZABEZPEČENIE SÚLADU S GDPR

Na základe vyššie uvedeného by sme Vás chceli upriamiť na niekoľko krokov, ktoré by mala Vaša spoločnosť urobiť v súvislosti s ochranou osobných údajov a zabezpečením súladu s nadriadením GDPR:

  • zmapovať osobné údaje, ktoré Vaša spoločnosť zbiera a spracováva;
  • vykonať bezpečnostnú analýzu (aké systémy sa používajú, aké sú riziká spracovania a pod.);
  • uzatvoriť zmluvu o spracovaní osobných údajov (podobne ako s našou spoločnosťou), aj s ostatnými sprostredkovateľmi, ktorým odovzdávate osobné údaje;
  • v prípade ak zbierate aj iné osobné údaje, ako tie ktoré sú spracovávané zo zákona, uistiť sa že sú zbierané iba na presne určený účel a iba na dobu potrebnú pre zabezpečenie tohto účelu a že súhlas so spracovaným týchto údajov bol udelený všetkými dotknutými osobami v súlade s novým zákonom;

7. BEZPEČNOSŤ E-MAILOVEJ KOMUNIKÁCIE

Jednou z oblastí zabezpečenia súladu s GDPR, ktorá sa určite dotkne takmer všetkých firiem a spoločnosti, a preto na ňu špeciálne upozorňujeme, je posielanie osobných údajov prostredníctvom bežnej e-mailovej komunikácie. GDPR vyžaduje aby boli osobné údaje počas prenosu chránené. V prípade elektronického prenosu to znamená šifrovanie prenášaných údajov. 

Používanie bežného e-mailu je po viacerých stránkach v rozpore s týmito požiadavkami:

  • údaje nie sú počas prenosu šifrované
  • pri prenose internetom môžu byť „odchytené“
  • v prípade preklepu v e-mailovej adrese môže jednoducho dôjsť k úniku osobných údajov
  • pri e-mailoch je ťažké kontrolovať, aby sa osobné údaje vymieňali iba medzi oprávnenými osobami na obidvoch stranách,
  • bežne vzniká viacero kópií e-mailov na viacerých zariadeniach (server, klient na PC, mobil) a tým viac príležitostí pre únik osobných údajov

Existujú riešenia ako šifrovať a zabezpečiť prenos údajov e-mailom, ale každé z týchto riešení adresuje iba niektoré z vyššie uvedených rizík a zároveň sú náročné na technickú realizáciu, časovú náročnosť alebo koordináciu krokov na obidvoch stranách.

My vo VGD SLOVAKIA sme sa preto rozhodli pre iný prístup ako dosiahnuť súlad s požiadavkami GDPR pri prenose osobných údajov. Vytvorili sme webový portál pre klientov VGD Slovakia (postavený na platforme Tulip). Portál obsahuje aj zdieľané úložisko údajov, ktoré bude slúžiť pre odovzdávanie súborov s osobnými údajmi. O detailoch tohto riešenia sú klienti VGD SLOVAKIA informovaný individuálne.

Poskytneme vám bližšie informácie.

Kontaktujte nás.

Najnovšie správy

Najnovšie správy

Prečítajte si naše najnovšie správy

Viac