Aké zmeny v právnej ochrane osobných údajov prinesie GDPR ?
Nariadenie EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR, začne platiť 25. mája 2018 a nahradí doteraz platnú smernicu 95/46/ES o ochrane osobných údajov.
Aké zmeny v právnej ochrane osobných údajov prinesie GDPR ?
Dátum: 06.06.2017
Nová právna úprava ochrany osobných údajov vytvára jednotný súbor pravidiel platný v celej EÚ, ktorého cieľom je predovšetkým zabezpečiť fyzickým osobám jednoduchý prístup k vlastným osobným údajom a tým umožniť ich kontrolu, poskytnúť jednotnú ochranu osobných údajov bez ohľadu na to, kto a kde osobné údaje spracúva, posilniť práva fyzických osôb a v neposlednom rade znížiť administratívu a tým aj náklady vynakladané na ochranu osobných údajov.
Hlavné zmeny ochrany osobných údajov, ktoré zavádza GDPR:
Právny základ
- zrušenie niektorých právnych základov pre spracúvanie osobných údajov
- súhlas dotknutej osoby – jasný, jednoduchý, zrozumiteľný, v ľahko dostupnej forme, poskytnutý iba na jeden účel, nemôže sa podmieňovať poskytnutím služby alebo plnením zmluvy
- pri registrácii služby na internete u detí do 16 rokov- súhlas zákonného zástupcu, od 16 rokov dáva súhlas dieťa
- zrušenie spracúvania osobných údajov zosnulej osoby
- nové kategórie osobných údajov – IP adresy, cookies, lokalizačné údaje
- spracúvanie fotografie alebo grafické zobrazenie podpisu bez získavania biometrických údajov nespadá do kategórie osobitnej kategórie osobných údajov
- zrušenie oznamovacej a registračnej povinnosti IS
Povinnosti prevádzkovateľa a sprostredkovateľa
- oznamovacia povinnosť prevádzkovateľa príjemcom pri oprave, výmaze a obmedzení spracovania osobných údajov a dotknutej osobe, ak o to požiada
- bezplatné poskytovanie informácií v zrozumiteľnej, transparentnej a ľahko dostupnej forme
- povinnosť prevádzkovateľa a sprostredkovateľa určiť zodpovednú osobu v taxatívne stanovených prípadoch
- povinnosť prevádzkovateľa zverejniť kontaktné údaje zodpovednej osoby a oznámiť ich úradu
- povinnosť prevádzkovateľa informovať dotknutú osobu o sprostredkovateľovi
- pri obmedzení práva dotknutej osoby, zaniká povinnosť prevádzkovateľa zaslať oznámenie úradu
- povinnosť uzavrieť vzájomnú dohodu medzi prevádzkovateľmi
- povinnosť prevádzkovateľa viesť záznamy o spracovateľských operáciách (evidenčné listy)
- nové obsahové náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom
Zodpovedná osoba
- podlieha priamo vedeniu prevádzkovateľa alebo sprostredkovateľa
- upevnenie postavenia zodpovednej osoby vo vzťahu k jej právam
- zánik povinnosti absolvovať skúšku pre výkon funkcie zodpovednej osoby
Práva dotknutej osoby
Nové práva dotknutej osoby
- právo na prenosnosť údajov
- právo namietať automatizované individuálne rozhodovanie vrátane profilovania
Upresnenie jednotlivých práv
- právo na prístup k údajom
- právo na opravu
- právo na vymazanie
- právo na obmedzenie spracúvania
- právo namietať
Bezpečnosť osobných údajov
- nahlasovanie incidentov dozornému orgánu bezodkladne, najneskôr do 72 hodín od zistenia
- vedenie dokumentácie porušenia ochrany osobných údajov
- oznámenie porušenia ochrany dotknutej osobe
- zánik povinnosti vypracovať bezpečnostný projekt
- povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov v obligatórne stanovených prípadoch
- povinnosť prevádzkovateľa požiadať úrad o konzultáciu, ak spracovateľské operácie zahŕňajú vysoké riziko
Kódexy správania a certifikácie
- možnosť vypracovania kódexu správania pre účinné uplatňovanie nariadenia
- zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov pre rýchle posúdenie úrovne ochrany osobných údajov
Úprava cezhraničného spracúvania osobných údajov a prenosu osobných údajov do tretích krajín
- existencia rozhodnutia o primeranosti
- neexistencia rozhodnutia o primeranosti
- osobitné situácie (len za podmienok taxatívne uvedených v nariadení)
- neopakujúce sa prenosy
Nápravné opatrenia dozorného orgánu (úradu)
- upozornenie, napomenutie, nariadenie, odňatie, uloženie správnej pokuty
Správne pokuty
- až do výšky 10 000 000 EUR alebo 2% celosvetového obratu
- až 20 000 000 EUR alebo 4 % celosvetového obratu
Súčasná právna úprava do značnej miery pokrýva požiadavky GDPR a preto u tých prevádzkovateľov, ktorí mali vypracované bezpečnostné projekty alebo prijaté primerané bezpečnostné opatrenia na ochranu osobných údajov je potrebné predovšetkým zrevidovať dáta, ktoré spravujú, vnútorné procesy a predpisy a posúdiť bezpečnosť systémov, v ktorých sa osobné údaje spracúvajú.
Prečítajte si tiež:
Oblasť GDPR