Čo je nariadenie GDPR?
General Data Protection Regulation je nové nariadenie EÚ o ochrane osobných údajov, ktoré nadobudne účinnosť dňa 25.5.2018. Jeho cieľom je zvýšiť úroveň ochrany osobných údajov a posilniť práva občanov Európskej únie v tejto oblasti.
Čo nariadenie GDPR zavádza v oblasti osobných údajov?
Nariadenie GDPR predstavuje najkomplexnejšiu úpravu a reguláciu problematiky osobných údajov. Zavádza množstvo nových pojmov a kategórií. Vedľa tradičných údajov, ktoré sú všeobecne chápané ako osobné, sem patria aj údaje technického rázu (IP adresa alebo cookies), a ako kategórie údajov hodné zvláštneho zreteľa definuje osobné údaje vypovedajúce o pôvode, politických názoroch, náboženskom či filozofickom vyznaní, zdravotnom stave a pod., genetické a biometrické údaje, osobné údaje detí a pod.
GDPR všeobecne reguluje zaobchádzanie s akýmikoľvek informáciami vzťahujúcimi sa k identifikovanej alebo identifikovateľnej osobe. Stanovuje povinnosti pre správcov aj spracovateľov údajov (vrátane povinnosti hlásiť akýkoľvek incident v oblasti práce s osobnými údajmi a ich ochrany), definuje podmienky, za ktorých môžu byť také údaje spracovávané, stanovuje pre ich spracovanie množstvo pravidiel a dáva subjektom týchto informácií množstvo práv. Zavádza tiež rolu zodpovednej osoby pre ochranu osobných údajov.
GDPR ďalej zavádza povinné posúdenie dopadov na súkromie klientov, tzv. PIA – privacy impact assessment. Tento nástroj je určený pre identifikáciu a vyhodnotenie rizík o ochrane osobných údajov v celom životnom cykle vývoja softwaru alebo systému.
GDPR zavádza povinnosť oznámení úniku osobných údajov pre všetkých. Nariadenie GDPR vyžaduje, aby postihnutá spoločnosť alebo organizácia informovala úrad pre ochranu osobných údajov o úniku najneskôr 72 hodín po zistení úniku. Spoločnosti a organizácie musia zaistiť procesy a technológie, ktoré im umožnia únik odhaliť, zareagovať a zaistiť nápravu.
GDPR zavádza právo byť zabudnutý, t.j. princíp minimalizácie údajov, ktorý vyžaduje, aby organizácia nedržala údaje dlhšie, než je nevyhnutne nutné. Zároveň nesmie meniť spôsob využitia dát s ohľadom na účel, pre ktorý boli pôvodne zhromaždené. Pokiaľ by organizácia takú zmenu chcela urobiť, musí si pred týmto úkonom vyžiadať od majiteľa dát nový súhlas.
Koho sa nariadenie GDPR týka?
V podstate všetkých. GDPR platí celosvetovo pre všetky subjekty, ktoré spracovávajú osobné údaje občanov EÚ, a zavádza množstvo nových práv a povinností. Spracovatelia a správcovia osobných údajov musia zaviesť nové procesy a technológie, ktoré budú v súlade s GDPR. Toto nariadenie sa dotkne všetkých oblastí podnikania: bankovníctva, poisťovníctva retailového trhu a internetových obchodov, výroby a služieb, zdravotníctva alebo verejnej správy. Teda všetkých subjektov a oblastí činnosti, pri ktorých dochádza k spracovaniu osobných údajov.
Aké sú sankcie za porušenie povinnosti podľa nariadenia GDPR?
Sankcie za porušenie povinnosti podľa nariadenia GDPR môžu byť podľa charakteru a závažnosti porušenia až vo výške 4 % z celkového obratu spoločnosti alebo až 20 miliónov EUR. Neodkladajte si svoju povinnosť pripraviť sa na túto zmenu a splnenie administratívnej povinnosti a napíšte nám pre cenovú ponuku.
Ponuka služieb našej spoločnosti
Pripravíme pre Vás analýzu a zostavíme Vám Plán dosiahnutia zhody s GDPR.
Poradíme Vám s výberom zodpovednej osoby, oboznámime Vás s jej povinnosťami a zaškolíme Vášho kandidáta, ktorý bude mať na starosť ochranu osobných údajov Vašej spoločnosti.
Posúdime ako prebieha spracovanie a nakladanie s osobnými údajmi vo Vašej spoločnosti a navrhneme opatrenia na odstránenie potencionálnych rizík.
Nastavíme systém hlásenia incidentov bezpečnosti osobných údajov a ich celkovú správu, ktorá je potrebná podľa nariadenia GDPR.
Najčastejšie otázky
Koho sa nariadenie GDPR týka?
Každého, kto zhromažďuje a spracováva osobné údaje občanov EÚ, či klientov, zákazníkov alebo vlastných zamestnancov. Máte internetový obchod? Používate kamerový systém? Evidujete zákazníkov alebo používate knihu návštev? Posielate zákazníkom ponuky, akcie alebo iné marketingové materiály? Tak vo všetkých prípadoch sa musíte pripraviť na veľkú zmenu v oblasti osobných údajov.
Aké sú sankcie za porušenie povinnosti podľa nariadenia GDPR?
Sankcie sú likvidačné, a to až 4 % z celkového obratu spoločnosti alebo do výšky 20 miliónov eur.
Môže byť jedna zodpovedná osoba ustanovená pre viac subjektov?
Áno, počet subjektov nie je limitovaný.
Aké sú sankcie za neustanovenie zodpovednej osoby?
20 000 000 EUR alebo 2% z celkového ročného celosvetového obratu za predchádzajúce účtovné obdobie.
Zodpovedná osoba podľa GDPR
Podľa nariadenia GDPR majú vybrané subjekty povinnosť ustanoviť inšpektora ochrany údajov (DPO – Data Protection Officer).
Táto osoba bude zaisťovať, že firemné procesy, aktivity a systémy súvisiace so spracovaním dát budú v súlade so zákonom.
Kto musí mať zodpovednú osobu?
- orgán verejnej moci alebo verejnoprávny subjekt (obce, základné školy, stredné a vysoké školy, a pod.)
- spoločnosti, ktorých hlavnými činnosťami sú spracovateľské operácie, kde je potrebné systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
- spoločnosti, ktorých je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo týkajúcich sa uznania viny za trestné činy a priestupky.
Corwin Consulting Centre s.r.o.
IČO: 50 898 329
DIČ: 2120530753
OR: OS BA 1
odd: Sro, vl:120182/B
