GDPR

V súčasnosti sa šíri hlavne prostredníctvom internetu veľa poplašných správ o dramatickom dopade zavedenia GDPR. V týchto správach sa obvykle tvrdí, že vzniká niečo nové a tieto tvrdenia sú poväčšine prezentované ako nástroj zameraný na likvidáciu firiem prostredníctvom vysokých pokút. Tieto tvrdenia sa však nezakladajú na skutočných faktoch, jedná sa o neopodstatnené fámy, vyplývajúce buď z neznalosti problematiky alebo sú tieto tvrdenia podsúvané účelovo v rámci tzv. „marketingu strachu“.

Na základe uvedeného nás v poslednej dobe kontaktuje veľké množstvo spoločností vrátane naších dlhoročných klientov ohľadom obáv z implementácie pravidiel GDPR do praxe. Aby sme fámy o GDPR ktoré kolujú v informačnom priestore uviedli na pravúmieru, pripravili sme pre Vás odpovede na základné otázky týkajúce sa implementácie GDPR do praxe v nadväznosti na súčasnú právnu úpravu ochrany osobných údajov.

General Data Protection Regulation - voľne preložené: Všeobecné pravidlá na ochranu dát GDPR je nariadenie Európskeho parlamentu a Rady (EÚ) č. 2016/679 z 27. 04. 2016, ktoré sa týka ochrany fyzických osôb pri spracúvaní osobných údajov. Nariadenie GDPR je všeobecne záväzné pre všetky členské štáty EU a tieto ho musia implementovať do praxe. Týmto nariadením dochádza k plošnému nahradeniu v súčasnosti platných zákonov o ochrane osobných údajov vo všetkých krajinách EÚ.
Obdobne ako predchádzajúca legislatíva v oblasti  ochrany osobných údajov (zákon č. 122/2013 Z. z.), aj nariadenie Európskeho parlamentu a Rady o GDPR sa vzťahuje na všetky subjekty, ktoré spracúvajú osobné údaje. Takže v tejto veci sa nič zásadné nemení.
GDPR vstupila do platnosti dňom 25. 05. 2018.
Zhoda predchádzajúcej legislatívy (zákon č. 122/2013 Z. z.) s nariadením GDPR je zhruba na 80%. Základné formy, postupy a pravidlá pre spracovanie osobných údajov sa nemenia, mení sa forma a kritériá pre aplikáciu pravidiel do praxe. Niektoré postupy a činnosti sa oproti predchádzajúcemu legislatívnemu stavu v Slovenskej republike zjednodušia. V zásade platí, že kto mal prijaté všetky opatrenia na ochranu osobných údajov v zmysle predchádzajúcej legislatívy (zákon č. 122/2013 Z. z. a súvisiace právne predpisy), nebude pre neho prechod na štandard GDPR predstavovať žiadny väčší problém.
  • výklad základných pojmov, ako osobný údaj, informačný systém, spracovanie osobných údajov je v zásade identický
  • ostáva povinnosť jednoznačne a zrozumiteľne zadefinovať účel, právny základ a rozsah spracovávaných osobných údajov
  • ostáva povinnosť poučiť oprávnené osoby pre prácu s osobnými údajmi
  • vzťah prevádzkovateľ - sprostredkovateľ naďalej musí byť upravený písomnou zmluvou
  • na spracovanie osobných údajov napríklad na účely marketingu, zverejňovanie fotografií a videí na propagačné účely, vernostné systémy a pod., ostáva podmienka udelenia súhlasu dotknutých osôb
  • ostáva povinnosť prijať opatrenia na zabezpečenie ochrany spracovávaných osobných údajov
  • zostáva povinnosť komunikácie s dotknutými osobami pri uplatňovaní práv dotknutých osôb
  • ostáva povinnosť vedenia evidencie informačných systémov
  • ostáva možnosť fakultatívneho ustanovenia osoby zodpovednej za ochranu osobných údajov, ale pre štátne inštitúcie  a pri splnený kritérií BIG DATA (250 osôb) sa táto povinnosť stáva taxatívna.
  • vytvára sa možnosť certifikácie prevádzkovateľa, získaním pečatí v oblasti ochrany osobných údajov (obdoba ISO)
  • zavádza sa povinnosť hlásiť bezpečnostný incident do 72 hodín od jeho vzniku
  • rušia sa skúšky zodpovedných osôb na Úrade pre ochranu osobných údajov
  • ochranu osobných údajov v rámci prepojených spoločností (korporácie, holdingy) je možné riešiť centralizovane v niektorých oblastiach (inštitút zodpovednej osoby, ustanovenie hlavnej prevádzkárne a pod.)
  • dotknutá osoba si môže uplatniť svoje práva u prevádzkovateľa osobne aj na základe ústnej požiadavky (doteraz len na základe písomnej žiadosti)
  • maximálne výšky pokút sa zvyšujú z 200 000 € na 20 000 000 € alebo 4 % z celosvetového obratu spoločnosti. Stanovenie výšky pokút bude zohľadňovať dĺžku a závažnosť protiprávneho konania. Udelená sankcia musí mať preventívny, výchovný, ochranný a odstrašujúci charakter, ale nemá byť likvidačná.
Prechod na GDPR sa začína analýzou aktuálneho stavu spracovania a bezpečnosti ochrany údajov vo firme. Na základe zisteného stavu následne pripravíme a  implementujeme bezpečnostnú dokumnetáciu v zmysle špožiadaviek GDPR,  upresnení komisiou EÚ a Úradom na ochranu osobných údajov Slovenskej republiky.
Pre klientov, ktorí nemajú spracovanú a implementovanú dokumentáciu v zmysle predchádzajúcej legislatívy, vykonávame analýzy súčasného stavu metód, spôsobov spracovania osobných údajov, t.j. realizujeme prvú fázu prechodu na štandard GDPR. Klienti, ktorí majú prijaté všetky opatrenia v zmysle predchádzajúcej legislatívy, majú túto prvú fázu už splnenú. Následne v zmysle zákona a všetkých vykonávacích naridení realizujeme  druhú fázu implementácie pravidiel v zmysle štandardu GDPR do praxe (aktualizácia kompletnej dokumentácie do formátu požadovanom štandardom GDPR).

 

V prípade, že by ste potrebovali základné informácie o GDPR doplniť alebo upresniť, neváhajte nás kontaktovať, veľmi radi Vám poskytneme viac informácií.

Kontaktný formulár

Zdieľaj