GDPR - Datafy.sk
15366
page-template,page-template-full_width,page-template-full_width-php,page,page-id-15366,ajax_fade,page_not_loaded,,qode-child-theme-ver-1.0.0,qode-theme-ver-13.3,qode-theme-bridge,wpb-js-composer js-comp-ver-5.4.5,vc_responsive
 

GDPR

Nové nariadenie o ochrane osobných údajov GDPR predstavuje novú legislatívu, ktorá výrazne posilnila práva, prístup a kontrolu občanov nad svojimi osobnými údajmi. GDPR nadobudla účinnosť 25. mája 2018.

 

Nato, aby boli spoločnosti v súlade s GDPR a právnym poriadkom SR sa musia riadiť nariadením GDPR a usmerneniami tzv. Pracovnej skupiny A 29WP (Article 29Working Party). Pracovná skupina prostredníctvom usmernení vykladá jednotlivé ustanovenia GDPR. Je oficiálnym poradným orgánom Európskej komisie pre oblasť ochrany osobných údajov a hlavným fórom spolupráce pre danú oblasť v rámci EU, členmi pracovnej skupiny sú zástupcovia národných orgánov, ktoré zodpovedajú za dodržiavanie ochrany osobných údajov v danej krajine, zástupcovia európskeho orgánu dohliadajúceho nad ochranou osobných údajov a zástupcovia Európskej komisie.

NIEKTORÉ ZÁKLADNÉ POJMY:

Osobné údaje – akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby

Dotknutá osoba – fyzická osoba, ktorej osobné údaje sú spracúvané

Prevádzkovateľ – fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov

Sprostredkovateľ – je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (napríklad účtovníctvo, mzdy)

Príjemca – fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov

Ůdaje týkajúce sa zdravia -sú osobné údaje týkajúce sa fyzického alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave

Kontrolný orgán – Úrad pre ochranu osobných údajov Slovenskej republiky (ďalej len ÚOOÚ)

Najzásadnejšie zmeny, ktoré priniesla európska reforma ochrany osobných údajov

Osobitná kategória
Spracúvanie osobitných kategórií osobných údajov

V prípade spracúvania osobitnej kategórie osobných údajov vo veľkom rozsahu bude prevádzkovateľ povinný posúdiť vplyv na ochranu osobných údajov a ustanoviť zodpovednú osobu

72
Oznámenie o porušení do 72 hodín

Únik informácií, neautorizovaný prístup k dátam sú organizácie povinné ohlásiť najneskôr do 72 hodín Úradu pre ochranu osobných údajov a v niektorých prípadoch aj dotknutej osobe či subjektom

Sprostredkovatelia
Povinnosti a zodpovednosti sprostredkovateľov

Sprostredkovateľ spracúva osobné údaje len na základe zdokumentovaných pokynov prevádzkovateľa. Je povinný prijať primerané technické a organizačné opatrenia, tak aby spracúvanie spĺňalo požiadavky GDPR. Zabezpečí aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú dôvernosť informácií.

Teritoriálna pôsobnosť
Rozširuje teritoriálnu pôsobnosť

Vzťahuje sa na prevádzkovateľov a sprostredkovateľov z EÚ bez ohľadu na to, či sa spracovanie uskutočňuje v EÚ alebo nie a takisto aj na prevádzkovateľov a sprostredkovateľov mimo EÚ, ktorý spracúvajú osobné údaje dotknutých osôb z EÚ, ak im ponúkajú tovary alebo služby, alebo monitorujú ich správanie v EÚ

euro v 4
Sankcie za porušenie GDPR                                                        

Významne zvyšuje sankcie za neplnenie požiadaviek GDPR, a to až do výšky 20 miliónov € alebo v prípade podniku do výšky 4% z ročných tržieb spoločnosti za predchádzajúci účtovný rok. Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade zohľadnia skutočnosti v zmysle článku 83 GDPR

ikona 16
Osobitná ochrana osobných údajov detí

V súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností

Práva
Rozširuje a spresňuje práva dotknutej osoby

právo na opravu

právo na zabudnutie (právo na výmaz)

právo na obmedzenie spracúvania

právo na prenosnosť údajov

právo namietať

právo namietať automatizované individuálne rozhodovanie a profilovanie

Zakotvila sa nová oznamovacia povinnosť prevádzkovateľa v súvislosti s vyššie uvedenými právami.

DPO
Ustanoviť zodpovednú osobu (DPO)

Prevádzkovatelia a sprostredkovatelia majú povinnosť ustanoviť zodpovednú osobu vo vybraných prípadoch, ak ide o orgány verejnej moci alebo verejnoprávne subjekty, s výnimkou súdov pri výkone súdnej právomoci, ak hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, ak hlavnými činnosťami sprostredkovateľa alebo prevádzkovateľa je spracúvanie osobných kategórií údajov podľa čl. 9 GDPR vo veľkom rozsahu. Zodpovedná osoba bude zodpovedať za monitorovanie dodržiavania GDPR, poskytovať informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie, o ich povinnostiach podľa GDPR a ostatných právnych predpisov týkajúcich sa ochrany údajov, vykonávať poradenstvo na požiadanie, pokiaľ ide o posúdenie vplyvu údajov a monitorovanie jeho vykonávania podľa čl. 35 GDPR, bude kontaktnou osobou pre kontrolný orgán alebo dotknutú osobu

Legislatívny rámec v oblasti ochrany osobných údajov tvoria predovšetkým GDPR, zákon o ochrane osobných údajov a usmernenia, návrh nariadenia o ochrane osobných údajov v elektronických komunikáciách (známe pod názvom ePrivacy), ale aj zákon o reklame, zákon o ochrane spotrebiteľa či pripravovaný zákon o kybernetickej bezpečnosti. Rovnako je k GDPR vydaná Policajná smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií.