Desatoro hlavných legislatívnych zmien týkajúcich sa ochrany osobných údajov

15. januára 2018 | Napísal Eva Holdošová
  1. Zvýšenie pokút na likvidačnú úroveň
  2. Nové podmienky pre zavedenie Zodpovednej osoby
  3. Oznamovacia povinnosť v prípade porušenia ochrany osobných údajov
  4. Striktnejšie podmienky týkajúce sa Súhlasu na spracúvanie osobných údajov
  5. Možnosť odvolať súhlas musí byť rovnako jednoduchá ako udelenie súhlasu
  6. Osobitná ochrana osobných údajov detí
  7. Posilnenie práv dotknutých osôb
  8. Nové zodpovednosti pre sprostredkovateľov
  9. Vykonanie posúdenia vplyvu na ochranu osobných údajov
  10. Zrušenie oznamovacej a registračnej povinnosti

 

  1. Zvýšenie pokút až na likvidačnú úroveň

Úrad môže uložiť pokutu až do výšky 20 miliónov EUR, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto napríklad:

  • nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov, vrátane podmienok súhlasu alebo
  • nesplnil alebo porušil niektoré z práv dotknutej osoby.

 

  1. Nové podmienky pre zavedenie Zodpovednej osoby

Opäť sa pre niektoré subjekty zavádza povinnosť ustanoviť tzv. Zodpovednú osobu inšpektora na ochranu osobných údajov.  

Úlohou zodpovednej osoby je zabezpečovať nepretržité odborné poradenstvo, dohľad, aby všetky firemné procesy, aktivity a systémy súvisiace so spracovaním osobných údajov boli v súlade so zákonom, ako aj všetku komunikáciu s úradom a dotknutými osobami. Zodpovednú osobu je treba určiť na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov.

Koho sa táto povinnosť týka?

Ide najmä o:

  1. všetky orgány verejnej správy, štátne úrady, obce, školy a verejnoprávne inštitúcie poskytujúce verejné služby,
  2. bankové inštitúcie a poisťovne, e-shopy, bezpečnostné služby, firmy, ktoré pravidelne a systematicky monitorujú osoby vo veľkom rozsahu spracúvajú údaje o zákazníkoch prostredníctvom napr. kamerovým systém v nákupnom centra,
aplikáciami, ktoré vyhodnocujú správanie klienta na internete za účelom cielenej reklamy, profilovanie
  3. zdravotnícke zariadenia, firmy, ktorých hlavnou činnosťou je rozsiahle spracúvanie biometrických údajov, genetických údajov, údajov o rasovom alebo etnickom pôvode, údajov o politických názoroch, údajov týkajúcich
sa zdravia alebo sexuálneho života

Pokuta za neustanovenie zodpovednej osoby

až do 10 miliónov EUR, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia!

Spoločnosť, ktorej sa táto povinnosť týka by sa mala rozhodnúť, či túto úlohu zverí svojmu zamestnancovi alebo externej osobe/spoločnosti, ktorá sa na dané služby špecializuje.

 

  1. Oznamovacia povinnosť v prípade porušenia ochrany osobných údajov

V prípade, že spoločnosť poruší pravidlá ochrany osobných údajov napr. únikom osobných údajov na verejnosť – neoprávnené zverejnenie, je povinná oznámiť Úradu na ochranu osobných údajov SR toto porušenie do 72 hodín po tom, ako sa o ňom dozvedel. Výnimku predstavuje prípad, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

Navyše v niektorých prípadoch, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby, je spoločnosť povinná toto porušenie bez zbytočného odkladu oznámiť aj dotknutej osobe.

 

  1. Striktnejšie podmienky týkajúce sa Súhlasu pri spracúvaní osobných údajov

Veľký dôraz sa kladie na zrozumiteľné a komplexné  informačné povinnosti prevádzkovateľa, ktoré musí oznámiť dotknutej osobe pri získavaní jej osobných údajov. Ide najmä o to, aby klient jasne vedel aké údaje sa spracúvajú, za akým účelom, na akom právnom základe, aké organizácie budú mať k nim prístup, ako dlho ich budú uchovávať a aké práva má dotknutá osoba.

Súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme. Spoločnosť musí byť schopná kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.

 

  1. Možnosť kedykoľvek odvolať súhlas musí byť rovnako jednoduchá ako udelenie súhlasu

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním svojich osobných údajov. Možnosť odvolať súhlas musí byť tak jednoduchá ako poskytnutie súhlasu (najlepšie rovnakým spôsobom).

 

  1. Osobitná ochrana osobných údajov detí

Pri poskytovaní služieb informačnej spoločnosti adresovanej maloletému sa vyžaduje, aby súhlas udelila osoba, ktorá dovŕšila vek 16 rokov. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.

Spoločnosť je povinná vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov, pričom zohľadní dostupnú technológiu.

 

  1. Posilnenie práv dotknutých osôb

Novou právnou úpravou sa rozšírili a spresnili jednotlivé práva dotknutých osôb, a to najmä:

  • právo na opravu nesprávnych osobných údajov;
  • právo na výmaz – právo na zabudnutie osobných údajov;
  • právo na obmedzenie spracúvania osobných údajov;
  • právo na prenosnosť údajov ďalšiemu prevádzkovateľovi;
  • právo namietať automatizované individuálne rozhodovanie a profilovanie.

 

  1. Nové zodpovednosti pre sprostredkovateľov

Sprostredkovatelia majú nové povinnosti, a to:

  • v niektorých prípadoch povinnosť nominovať zodpovednú osobu rovnako ako prevádzkovatelia,
  • viesť záznamy spracovateľských operácii pre každého klienta (prevádzkovateľa) zvlášť,
  • informovať bez zbytočného odkladu prevádzkovateľa o porušení ochrany osobných údajov,
  • aktualizovať Zmluvu so sprostredkovateľom o nové požiadavky ako povinnosť po skončení spolupráce vymaže a/alebo vráti všetky osobné údaje prevádzkovateľa, právo vykonať audit, povinnosť implementovať bezpečnostného opatrenia.

 

  1. Vykonanie posúdenia vplyvu na ochranu osobných údajov

Ak by typ plánovaného spracúvania údajov mohol viesť k vysokému riziku pre práva fyzických osôb, je potrebné vykonať posúdenie vplyvu na ochranu osobných údajov. Takéto posúdenie obsahuje najmä

  • opis a účel spracovateľských operácií,
  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
  • posúdenie rizika pre práva dotknutej osoby a
  • opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov

 

  1. Zruší sa oznamovacia a registračná povinnosť a zaviedla sa povinnosť viesť Záznamy o spracovateľských činnostiach

Upustilo sa od oznamovacej a registračnej povinnosti informačných systémov, ktoré bolo treba zasielať na Úrad. Evidenčná povinnosť je nahradená novou povinnosťou viesť Záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Uvedené záznamy majú mať podobný obsah ako Evidencia IS.