Nové všeobecné nariadenie EÚ o ochrane údajov (GDPR)

Ako GDPR ovplyvní vašu politiku ochrany údajov

OVERTE SI SÚLAD S GDPR ZÍSKAJTE PRÍRUČKU ZDARMA

Spĺňate požiadavky nariadenia GDPR?

V máji 2018 nadobudne účinnosť nové nariadenie EÚ o ochrane údajov.

Ak sa na vás nariadenie vzťahuje, mali by ste už teraz začať premýšľať o tom, ako splniť jeho požiadavky. Túto stránku sme vytvorili, aby sme vám pomohli pochopiť, čo Všeobecné nariadenie o ochrane údajov (GDPR) je, aké sú jeho požiadavky, a aby sme vám ponúkli riešenia. GDPR sa bude vzťahovať na každú organizáciu v Európe, ktorá spracováva akékoľvek osobné údaje. Zároveň sa bude vzťahovať aj na všetky firmy, ktoré podnikajú v rámci EÚ, ale aj zahraničné subjekty, ktoré pracujú s údajmi občanov EÚ. Zavádzané pravidlá môžu pôsobiť zložito a pokuty za nesplnenie požiadaviek sú veľmi vysoké (až do 20 miliónov eur).

Ak sa však chcete dozvedieť viac, ste na správnom mieste!

https://encryption.eset.com/sk/wp-content/uploads/sites/31/2016/08/maj-2018.jpg

Získajte príručku a aktuálne informácie o GDPR s bezplatnými ESET novinkami

Spoločnosť ESET pre vás v spolupráci s právnou kanceláriou Allen&Overy Bratislava pripravila detailnú príručku s podrobnými informáciami o tom aký vplyv na vás bude mať nové nariadenie EÚ. Vyplňte údaje o vašej spoločnosti a stiahnite si zdarma príručku s ESET novinkami – stále nové informácie o GDPR, spoločnosti ESET a jej produktoch, ktoré vám pomôžu s jej implementáciou.

https://encryption.eset.com/sk/wp-content/uploads/sites/31/2016/08/prirucka_general_data_protection_regulation.png

Online compliance check

Does your organization comply with the regulation?

Splnenie požiadaviek GDPR krok za krokom

Nariadenie GDPR zasahuje do mnohých oblastí, preto sme proces zabezpečenia súladu s nariadením rozdelili do troch častí obsahujúcich opatrenia, nad ktorými by ste mali uvažovať, a ďalej do menších celkov obsahujúcich detailnejšie vysvetlenia. Stačí, ak kliknete na stĺpce nákresu nižšie a môžete si ozrejmiť všetky potrebné informácie.

+V skratke

 

Niektoré zásady uvedené v GPDR nadväzujú na požiadavky, ktoré súčasná legislatíva už obsahuje, vrátane: spravodlivosti, zákonnosti a transparentnosti; obmedzenia účelov; minimalizácie množstva údajov; kvality údajov; bezpečnosti, integrity a dôvernosti.

GDPR zavádza nový princíp zodpovednosti tým, že prevádzkovatelia údajov budú zodpovední za preukázanie dodržiavania zásad (o ochrane osobných údajov). GDPR pridáva nové prístupy k existujúcim pravidlám o ochrane osobných údajov, a to nasledovné

Zákonnosť, spravodlivosť a transparentnosť – osobné údaje musia byť spracované transparentne vo vzťahu k dotknutej osobe.

Obmedzenia účelov – S niektorými výnimkami, archivácia osobných údajov, ktoré sú vo verejnom záujme, nebude považovaná za nezlučiteľnú s pôvodným účelom spracovania.

Uchovávanie – osobné údaje sa musia uchovávať vo forme umožňujúcej identifikáciu dotknutej osoby po obdobie nie dlhšie ako je nevyhnutné.

Zodpovednosť – Prevádzkovateľ bude zodpovedný a musí byť schopný preukázať dodržiavanie zásad.

+Požiadavky týkajúce sa organizačnej štruktúry

V súlade s GDPR musíte zaviesť širokú škálu opatrení s cieľom minimalizovať riziko porušenia ustanovení GDPR a preukázať, že správu údajov neberiete na ľahkú váhu. Medzi požadovanými opatreniami na zaistenie zodpovednosti, ktoré sa vás môžu týkať, sú napr.: posúdenia vplyvu na ochranu súkromia, audity, revízie politík, záznamy činností a (potenciálne) aj určenie zodpovednej osoby (DPO).

Nariadenie GDPR zavádza pre niektoré organizácie povinnosť určiť zodpovednú osobu. Tieto organizácie môžu do tejto funkcie určiť buď interného pracovníka, alebo externého poradcu.

Ak pracujete v oblasti marketingu a máte veľkú databázu spotrebiteľov, pravdepodobne sa na vás vzťahuje povinnosť určiť zodpovednú osobu. Informácie o tom, na koho sa táto povinnosť vzťahuje, vám poskytne príslušný dozorný orgán na ochranu údajov. Viac informácií sa dozviete aj v príručke o nariadení GDPR, ktorú si môžete stiahnuť bezplatne.

Vami určená zodpovedná osoba bude zodpovedať za monitorovanie dodržiavania GDPR, bude vás informovať o vašich povinnostiach, o tom, kedy a ako je potrebné vykonať posúdenie vplyvu na súkromie údajov, a bude kontaktnou osobou v prípade otázok zo strany dozorných orgánov na ochranu údajov alebo zo strany jednotlivcov.

Koncepcia jednotného kontaktného miesta umožňuje organizácii, ktorá má svoje pobočky vo viacerých krajinách EÚ, komunikovať len s jedným štátnym úradom na ochranu údajov , aj keď pravidlá určenia, ktoré úrad pre túto úlohu prevezme, a spôsob riešenia sťažností, sú v niektorých prípadoch pomerne zložité.

+Procesy, postupy a politiky

GDPR upravuje definíciu porušenia ochrany údajov takto: „porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim“.

Táto definícia je obšírnejšia ako doteraz a neberie do úvahy, či porušením ochrany údajov bola poškodená nejaká osoba. Ak vo vašej organizácii dôjde k porušeniu ochrany bezpečnosti údajov, musíte o tom bez meškania, no najneskôr 72 hodín od odhalenia porušenia ochrany, informovať príslušný dozorný orgán na ochranu údajov.

Ak ste však zaviedli vhodné technické a organizačné opatrenia na ochranu osobných údajov, ako napr. šifrovanie, nemusíte o porušení ochrany informovať fyzické osoby.

Dôležitou súčasťou zabezpečenia súladu s GDPR je špecificky navrhnutá ochrana údajov, t. j. každý nový proces alebo výrobok musí byť navrhnutý tak, aby požiadavky na ochranu údajov boli vždy v centre pozornosti. Tento prístup, ktorý bol v minulosti len odporúčaným postupom, je v súčasnosti výslovnou požiadavkou.

Posúdenie vplyvu na ochranu osobných údajov, tiež známe pod názvom posúdenie vplyvu na ochranu údajov (PIA), má za cieľ identifikovať a minimalizovať riziko nesúladu.
GDPR formálne vyžaduje vykonanie PIA, konkrétne prevádzkovatelia musia zabezpečiť vykonanie PIA ešte pred začatím spracovania údajov, ktoré so sebou nesie „zvýšené riziko“.

Ak podnikáte v medzinárodnom meradle, zásady a procesy, ktoré aplikujete pri prenose údajov  do krajín, ktoré nie sú členmi EÚ, majú zásadný význam, pretože pokuty za porušenie povinností alebo prenos údajov do krajín, ktoré Európska komisia nepovažuje za krajiny s dostatočnou úrovňou ochrany údajov, budú po vstupe GDPR do platnosti oveľa vyššie.

+Informovanosť o bezpečnosti údajov

Teraz je správny čas, aby ste začali svojim zamestnancom vysvetľovať potrebu dodržiavania požiadaviek GDPR. Pravdepodobne už teraz by ste mali začať s prípravou upravených postupov, ktoré zabezpečia súlad s novými požiadavkami GDPR týkajúcimi sa transparentnosti a práv jednotlivca. To môže mať závažný vplyv z hľadiska financií, informačných technológií a školení.

+Zodpovednosť - Technické opatrenia

Na základe GDPR sú prevádzkovatelia  zodpovední za preukázanie súladu so zásadami ochrany údajov definovanými v nariadení, preto musíte zabezpečiť prijatie jednoznačných politík, pomocou ktorých dokážete preukázať plnenie požiadaviek na zákonný monitoring, preskúmanie a posudzovanie postupov spracovania dát, zavádzanie bezpečnostných opatrení a školenia pre vašich zamestnancov, ktoré zaistia, že budú poznať svoje povinnosti – a zároveň musíte vedieť preukázať súlad s týmito požiadavkami, kedykoľvek vás o to dozorný orgán na ochranu údajov požiada.

+Porušenie ochrany údajov – Technické opatrenia

Musíte sa pripraviť na porušenie ochrany údajov, ktoré je definované ako „porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim“, tým, že zavediete jasné politiky a overené postupy, ktoré zabezpečia, že v prípade potreby dokážete reagovať na porušenie ochrany údajov a informovať o ňom.

Nesplnenie zákonnej povinnosti informovať o porušení ochrany údajov bude pokutované rovnako ako samotné porušenie ochrany údajov.

+Zabezpečenie práv dotknutých osôb - technická stránka

GDPR posilňuje práva dotknutých osôb , napríklad tým, že pridáva právo požadovať informácie o tom, aké údaje sa o nich spracovávajú, vyžiadať si prístup k údajom za istých okolností a požiadať o opravu nesprávnych údajov.

Jedným z hlavných cieľov nariadenia GDPR je posilnenie práva jednotlivcov. Následkom toho sa zmenia zásady spracovania žiadostí dotknutých osôb o prístup k údajom, a vy budete musieť zodpovedajúcim spôsobom upraviť používané postupy.

Vo všeobecnosti možno povedať, že nebudete môcť takéto požiadavky spoplatniť a zároveň je lehota na poskytnutie údajov stanovená na jeden mesiac.

Právo na zabudnutie (v terminológii GDPR „vymazanie“) umožňuje fyzickým osobám požiadať prevádzkovateľov údajov, aby za určitých okolností bez zbytočného odkladu vymazali ich osobné údaje, napr. ak sa osobné údaje spracúvali nezákonne alebo odvolajú svoj súhlas.

Tieto pravidlá sa vzťahujú aj na tretie strany, ktorým poskytujeme alebo sprístupňujeme údaje dotknutých osôb.

Podľa definície v nariadení GDPR je profilovanie „akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.”

Nariadenie GDPR zavádza nové právo na prenosnosť údajov, ktoré rozširuje doterajšie právo fyzických osôb požadovať poskytnutie ich údajov v bežne používanej elektronickej podobe, a vyžaduje, aby prevádzkovateľ údajov poskytol informácie v štruktúrovanej, bežne používanej a strojovo čitateľnej podobe.

Na toto pravidlo sa vzťahujú niektoré obmedzenia, napr. sa týka len automaticky spracovávaných osobných údajov.

V rámci svojho cieľa posilňovať práva fyzických osôb precizuje Európska komisia právo obmedziť niektoré druhy spracovania údajov a právo nesúhlasiť so spracovaním osobných údajov na účely priameho marketingu, vrátane profilovania na účely priameho marketingu.

Ak fyzická osoba vyjadrí svoju námietku, jej údaje nesmú byť ďalej spracovávané na účely priameho marketingu.

Organizácie budú povinné otvorene informovať fyzické osoby o ich práve nesúhlasiť so spracovaním svojich údajov, pričom táto informácia musí byť oddelená od ostatných informácií, ktoré je takáto organizácia povinná poskytovať.

+Poskytovanie informácií o ochrane súkromia (súhlasy, oznámenia o spravodlivom spracovaní)

V závislosti od vašich doterajších postupov budete pravdepodobne musieť upraviť spôsob, akým žiadate o súhlas, ako ho získavate a ukladáte.  Súhlas dotknutej osoby  so spracovaním jej osobných údajov musí byť rovnako jednoduché udeliť aj odvolať a takýto súhlas musí byť udelený aktívne – nemožno ho automaticky predpokladať na základe mlčania, vopred označených políčok alebo nečinnosti.

GDPR udeľuje osobitnú ochranu, pokiaľ ide o nakladanie s osobnými údajmi, ktoré sa týkajú detí, a to najmä vo vzťahu ku komerčným internetovým službám, ako sú sociálne siete.

Online je vyžadovaný predchádzajúci súhlas rodičov na použitie osobných údajov pre osoby mladšie ako 13 rokov; Členské štáty si môžu stanoviť vlastné pravidlá pre ľudí vo veku 13 až 15 rokov. Ak si ich neurčia, vyžaduje sa súhlas rodičov pre deti mladšie ako 16 rokov.

Vo výsledku, mali by ste začať premýšľať o tom, ako implementovať systém pre overenie veku jednotlivcov a získať súhlas rodičov alebo opatrovníkov pre spracovanie týchto údajov.
Súhlas musí byť overiteľný a pri zbere dát detí musia byť vaše zásady ochrany osobných údajov napísané v jazyku, ktorému budú deti rozumieť.

Nariadenie GDPR pravdepodobne rozšíri množstvo informácií, ktoré budete povinní oznámiť dotknutým osobám , ako napr. právny dôvod spracovania ich údajov, dobu, po ktorú budete údaje uchovávať, ich právo podať sťažnosť dozornému orgánu na ochranu údajov, ak si myslia, že spôsob, akým spracovávate ich údaje, nie je v poriadku. Povšimnite si tiež, že GDPR vyžaduje, aby tieto informácie boli poskytnuté v stručnej a jasnej forme.

+Bezpečnosť údajov (integrita a dôvernosť)

Nariadenie GPDR definuje zásady podobné tým, ktoré obsahuje súčasná legislatíva, vrátane: spravodlivosti, zákonnosti a transparentnosti; obmedzenia účelov; minimalizácie množstva údajov; kvality údajov; bezpečnosti, integrity a dôvernosti.

Musíte zabezpečiť, aby osobné údaje  boli spracovávané spôsobom, ktorý zaistí ich bezpečnosť, vrátane ochrany proti neoprávnenému alebo nezákonnému spracovaniu, náhodným stratám, zničeniu alebo poškodeniu„Organizácia aj každý outsourcovaný poskytovateľ služieb (sprostredkovateľ) musia zaviesť vhodné technické a organizačné opatrenia na zaistenie úrovne bezpečnosti zodpovedajúcej hroziacim rizikám.“

Nariadenie zároveň odporúča niekoľko bezpečnostných opatrení, ktoré zaistia bezpečnosť dát, ako napr.: pseudonymizácia a šifrovanie osobných údajov; zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb používaných na spracovanie osobných údajov; schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu; a proces pravidelného testovania, hodnotenia a posudzovania účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

Nariadenie GDPR hovorí o šifrovaní ako o jednom zo spôsobov zaistenia súladu s niektorými v ňom definovanými povinnosťami. Citujeme z nariadenia:

Článok 32 – Bezpečnosť spracúvania

„1.  Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj: (a) pseudonymizáciu a šifrovanie osobných údajov […]”

Článok 34 – Oznámenie porušenia ochrany osobných údajov dotknutej osobe

„3. Oznámenie dotknutej osobe uvedené v odseku 1 sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok: (a) prevádzkovateľ  prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie […]”

+Dokumentovanie údajov, zákonný dôvod a audit

Mali by ste viesť evidenciu ukladaných osobných údajov a uchovávať informácie o ich pôvode a o tom, s kým sa o ne delíte.

Ak máte nepresné osobné údaje, ktoré poskytnete alebo sprístupníte inej organizácii, GDPR od vás vyžaduje, aby ste túto organizáciu o takejto nepresnosti informovali, aby si ich mohla opraviť vo vlastných záznamoch. Aby ste tak mohli urobiť, môže byť nutné vykonať vo vašej organizácii alebo konkrétnej oblasti podnikania informačný audit. To vám zároveň pomôže zabezpečiť súlad so zásadou zodpovednosti definovanou v GDPR.

V súlade s GDPR by ste mali preskúmať proces spracovania osobných údajov a identifikovať zákonné dôvody, na základe ktorých tieto procesy vykonávate a dokumentujete.

To je potrebné, pretože GDPR upravuje niektoré práva fyzických osôb v závislosti od zákonných dôvodov na spracovanie ich osobných údajov. Jedným takýmto príkladom je, že fyzické osoby budú mať právo účinnejšie žiadať o vymazanie svojich údajov, ak je spracúvanie založené na súhlase dotknutej osoby. Súhlas je však len jedným zo spôsobov, ako legitimizovať spracovanie údajov a z pohľadu prevádzkovateľa nemusí ísť o najlepší spôsob (pretože ho možno odvolať).

Informácie uvádzané na tejto webovej stránke nepredstavujú právne stanovisko a používatelia by sa pri prijímaní finančných alebo obchodných rozhodnutí nemali spoliehať na ich presnosť. Spoločnosť ESET nezodpovedá za následky takéhoto konania. Vždy požiadajte o nezávislé právne stanovisko.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Takmer 80% firiem nie je pripravených na GDPR

Na základe nového prieskumu realizovaného nezávislými analytikmi IDC, väčšina malých a stredných firiem v EÚ nie je pripravených na GDPR. IDC dotazovalo IT expertov z viac ako 700 spoločností. Z prieskumu vyplynulo, že úroveň porozumenia novému nariadeniu je stále nízka.

Pozrite si detaily prieskumu a zistite viac o GDPR v kompletnej správe pre vás – bezplatne od ESETu:

Porozumenie dôsledkom GDPR

25% žiadne | 52% nedostatočné | 22% dostatočné

Používame cookies, ktoré nám umožňujú poskytovať pre vás lepšie služby. Viac info.

OK