Ochrana osobných údajov prejde v máji 2018 svojou európskou evolúciou. Nové postupy v spracovávaní osobných údajov pod označením GDPR (General Data Protection Regulation), prinášajú zjednocujúce pravidlá pri spracovávaní a ochrane osobných údajov v celej EÚ.
Nové pravidlá pri spracovávaní a ochrane osobných údajov, ktoré budú v platnosti od 25.05.2018, budú povinné pre subjekty, ktoré spracovávajú a uchovávajú osobné údaje. Tie subjekty, ktoré dodržiavali súčasné pravidlá ochrany osobných údajov, platné do 25.05.2018, budú prechod na nové pravidlá GDPR implementovať jednoduchšie a prechod na nový systém ochrany osobných údajov nebude pre ne až tak náročný. Poďme sa spoločne pozrieť na niektoré často kladené otázky?
Čo je považované za osobný údaj?
V nových pravidlách podľa GDPR (General Data Protection Regulation) sú za osobné údaje považované také údaje, ktoré sa týkajú identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo on-line identifikátor (e-mail, IP adresa), alebo na základe jednej alebo viacerých charakteristík alebo znakov (foto, video, telefónne číslo), ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu. (sexuálna orientácia, členstvo v združeniach, DNA, biometrické údaje a pod.).
Čo sú lokalizačné údaje?
Lokalizačné údaje sú údaje spracúvané v sieti alebo prostredníctvom služby, ktoré označujú geografickú polohu koncového zariadenia užívateľa verejnej služby. Podnik môže spracúvať lokalizačné údaje iné ako prevádzkové údaje, ktoré sa týkajú účastníka alebo užívateľa verejnej siete alebo verejnej služby len vtedy, ak sa anonymizujú alebo ak s tým účastník alebo užívateľ verejnej siete alebo verejnej služby súhlasí v rozsahu a trvaní nevyhnutnom na poskytnutie služby s pridanou hodnotou. Podnik je povinný informovať účastníka alebo užívateľa pred získaním ich súhlasu o druhu lokalizačných údajov iných ako prevádzkových údajov, ktoré sa budú spracúvať, o účele a čase ich spracúvania a či sa údaje budú poskytovať tretej strane na účely poskytovania služby s pridanou hodnotou. Účastník alebo užívateľ môže kedykoľvek odvolať svoj súhlas daný na spracúvanie takých lokalizačných údajov.
Dotýka sa ochrana osobných údajov len klientov?
Po novom sa ochrana osobných údajov dotýka všetkých. Narábanie s osobnými údajmi sa týka nielen klientov, Vašich zamestnancov, či dodávateľov, ale aj akcionárov, členov dozorných rád, družstva a pod. Taktiež nesmieme opomenúť ani kamerové záznamy a mnohé iné kategórie osobných údajov. Do kategórie ochrany spadajú aj aj zmluvní a predzmluvní partneri.
Bude možné používať databázu súčasných e-mailov, ktoré má subjekt k dispozícií aj po 25.05.2018?
V prípade ak má subjekt databázu e-mailov, ktorá bola vytvorená na základe slobodného prihlásenia klienta a bol zo strany klienta udelený súhlas pre zasielanie e-mailov, je možné takúto databázu využívať aj naďalej. V prípade, že nedisponujete slobodným, vážnym a zrozumiteľným súhlasom od klienta alebo je Vaša evidencia súhlasov klientov bez chybičiek, je nutné vyžiadať si nový súhlas.
Má právo byť (zabudnutý) vymazaný z databázy každý?
Z Vašich databáz ste povinný odstrániť každého, koho osobné údaje spracovávate, resp. koho máte v databáze, kto o to požiada. Povedané inak, keď Vás klient požiada aby ste vymazali jeho kontakt z Vašej databázy, ste povinný to urobiť. Táto skutočnosť ale neplatí v prípadoch, kde zákon ukladá povinnosť uchovávať údaje t.j. účel archivácie, účtovníctva, pre orgány činné v trestnom konaní a pod.
Je šifrovanie povinné pri spracovávaní a uchovávaní osobných údajov?
Legislatíva neprikazuje pri spracovávaní alebo ukladaní osobných údajov ich šifrovanie. Je teda na rozhodnutí spracovávateľa ako bude osobné údaje chrániť. Povinnosťou každého je zabezpečiť osobné údaje tak, aby nedošlo k ich zneužitiu treťou stranou. Šifrovanie je možné použiť ako jeden z možných nástrojov ochrany.
Aká je pokuta (GDPR a sankcie)?
Sankcie pri nedodržiavaní nových pravidiel sa od mája vyšplhajú do závratných výšok. Samozrejme aj pri ukladaní sankcií je zachovaný určitý postup a kontrolný orgán sa snaží pôsobiť preventívne. Porušenie pravidiel nemusí hneď znamenať sankciu v závratnej výške. V prvej fáze bude subjekt, u ktorého sa nájdu pochybenia pri spracovávaní a ochrane osobných údajov, upozornený na pochybenia a vyzvaný na ich odstránenie. Druhá fáza, ktorá predchádza uloženiu pokuty, je úradné pokarhanie. Tretia fáza, predstavuje posledný krok pred uložením pokuty. Týmto krokom je právomoc úradu pozastaviť spracovanie údajov. Posledným štvrtým krokom je uloženie pokuty. Legislatíva ponecháva na úrad, či pokutu uloží a v akej výške. Pokuta vo všeobecnosti môže dosiahnuť výšku až 20 miliónov EUR alebo 4% celkového ročného obratu. (viac…)