Nová právna úprava ochrany osobných údajov vytvára jednotný súbor pravidiel  platný v celej EÚ, ktorého cieľom je predovšetkým zabezpečiť fyzickým osobám jednoduchý prístup k vlastným osobným údajom a tým umožniť ich kontrolu, poskytnúť jednotnú ochranu osobných údajov bez ohľadu na to, kto a kde osobné údaje spracúva, posilniť práva fyzických osôb a v neposlednom rade znížiť  administratívu a tým aj náklady vynakladané na ochranu osobných údajov.

 

Hlavné zmeny ochrany osobných údajov, ktoré zavádza GDPR:

Právny základ

• zrušenie niektorých právnych základov pre spracúvanie osobných údajov
• súhlas dotknutej osoby – jasný, jednoduchý, zrozumiteľný, v ľahko dostupnej forme, poskytnutý iba na jeden účel, nemôže sa podmieňovať poskytnutím služby alebo plnením zmluvy
• pri registrácii služby na internete u detí do 16 rokov- súhlas zákonného zástupcu, od 16 rokov dáva súhlas dieťa 
• zrušenie spracúvania osobných údajov zosnulej osoby
• nové kategórie osobných údajov – IP adresy, cookies, lokalizačné údaje
• spracúvanie fotografie alebo grafické zobrazenie podpisu bez získavania biometrických údajov nespadá do kategórie osobitnej kategórie osobných údajov 
• zrušenie oznamovacej a registračnej povinnosti IS 

Povinnosti prevádzkovateľa a sprostredkovateľa

• oznamovacia povinnosť prevádzkovateľa príjemcom pri oprave, výmaze a obmedzení spracovania osobných údajov a dotknutej osobe, ak o to požiada
• bezplatné poskytovanie informácií v zrozumiteľnej, transparentnej a ľahko dostupnej forme 
• povinnosť prevádzkovateľa a sprostredkovateľa určiť zodpovednú osobu v taxatívne stanovených prípadoch
• povinnosť prevádzkovateľa zverejniť kontaktné údaje zodpovednej osoby a oznámiť ich úradu
• povinnosť prevádzkovateľa informovať dotknutú osobu o sprostredkovateľovi 
• pri obmedzení práva dotknutej osoby, zaniká povinnosť prevádzkovateľa zaslať oznámenie  úradu
• povinnosť uzavrieť vzájomnú dohodu medzi prevádzkovateľmi
• povinnosť prevádzkovateľa viesť záznamy o spracovateľských operáciách (evidenčné listy)
• nové obsahové náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom

Zodpovedná osoba

• podlieha priamo vedeniu prevádzkovateľa alebo sprostredkovateľa
• upevnenie postavenia zodpovednej osoby vo vzťahu k jej právam
• zánik povinnosti absolvovať  skúšku pre výkon funkcie zodpovednej osoby

Práva dotknutej osoby

Nové práva dotknutej osoby 

• právo na prenosnosť údajov
• právo  namietať automatizované individuálne rozhodovanie vrátane profilovania 

Upresnenie jednotlivých práv 

• právo na prístup k údajom
• právo na opravu 
• právo na vymazanie
• právo na obmedzenie spracúvania
• právo namietať

Bezpečnosť osobných údajov

• nahlasovanie incidentov dozornému orgánu bezodkladne, najneskôr do 72 hodín od zistenia
• vedenie dokumentácie porušenia ochrany osobných údajov
• oznámenie porušenia ochrany dotknutej osobe
• zánik povinnosti vypracovať bezpečnostný projekt
• povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov v obligatórne stanovených prípadoch
• povinnosť prevádzkovateľa požiadať úrad o konzultáciu, ak spracovateľské operácie zahŕňajú  vysoké riziko

Kódexy správania a certifikácie

• možnosť vypracovania kódexu správania pre účinné uplatňovanie nariadenia
• zavedenie certifikačných mechanizmov ochrany údajov a pečatí a značiek ochrany údajov pre rýchle posúdenie úrovne ochrany osobných údajov

Úprava cezhraničného spracúvania osobných údajov a prenosu osobných údajov do tretích krajín

• existencia rozhodnutia o primeranosti  
• neexistencia rozhodnutia o primeranosti 
• osobitné situácie (len za podmienok  taxatívne uvedených v nariadení)
• neopakujúce sa prenosy 

 Nápravné opatrenia dozorného orgánu (úradu)

• upozornenie, napomenutie, nariadenie, odňatie, uloženie správnej pokuty

Správne pokuty

• až do výšky 10 000 000 EUR alebo 2% celosvetového obratu
• až 20 000 000 EUR alebo 4 % celosvetového obratu

Súčasná právna úprava do značnej miery pokrýva požiadavky GDPR a preto u tých prevádzkovateľov, ktorí mali vypracované bezpečnostné projekty alebo prijaté primerané bezpečnostné opatrenia na ochranu osobných údajov je potrebné predovšetkým zrevidovať dáta, ktoré spravujú, vnútorné procesy a predpisy  a posúdiť bezpečnosť systémov, v ktorých sa osobné  údaje spracúvajú.

 

---

Prečítajte si tiež:

Oblasť GDPR

---