GDPR - General Data Protection Regulation

GDPR - General Data Protection Regulation

General Data Protection Regulation

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679


V roku 2016 bolo zverejnené nariadenie Európskeho parlamentu (GDPR). Toto nariadenie sa vzťahuje na každého, kto spracúva osobné údaje. Dôležité je však upozorniť, že osobný údaj nie je len rodné číslo, ako sa traduje, ale je to aj meno, priezvisko, adresa bydliska, tel. číslo a čo je novinka aj napr. IP adresa, cookies. Všetky spoločnosti sú povinné prijať opatrenia podľa tohto nariadnia najneskôr do 25. mája 2018, kedy začne byť nariadenie účinné.
Kompletné nariadenie európskeho parlamentu si môžete pozrieť tu : ÚPLNE ZNENIE NARIADENIA RADY EÚ

Dňa 19.11.2017 bol nový zákon o ochrane osobných údajov prijatý v NRSR podpísaný aj p.prezidentom a 30.1.2018 vyšiel aj v zbierke zákonov. Kompletný zákon, ktorý je zverejnený v zbierke zákonov si môžete pozrieť tu : ÚPLNE ZNENIE ZÁKONA PRIJATÉHO V NRSR


 

Najdôležitejšie zmeny, ktoré súvisia priamo s GDPR :


•   všeobecné nariadenie o ochrane osobných údajov je doteraz najucelenejším súborom pravidiel ochrany dát na svete,
•   množstvo ďalších údajov bude považovaných za určitých okolnosti za osobné, napr. IP adresa, cookies, e-mailové adresy, GPS údaje ...,
•   fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané,
•   akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne,
•   fyzická osoba má mať právo na opravu nesprávnych osobných údajov, ako aj právo na ich vymazanie,
•   sprísňuje sa ochrana osobných údajov detí, bude povinný súhlas od rodičov so spracovaním osobných údajov detí mladších ako 16 rokov
•   omnoho vyššie pokuty - maximálna pokuta môže byť až do výšky 20 miliónov EUR alebo do výšky 4% celkového ročného obratu podniku,
•   niektorí prevádzkovatelia budú musieť vymenovať nezávislú ZODPOVEDNÚ OSOBU, ktorá bude podliehať priamo vedeniu spoločnosti,
•   po novom bude musieť spracovateľ ohlásiť ohrozenie zabezpečenia osobných dát najneskôr do 72 hodín od okamihu, keď sa o incidente dozvedel,
•   predbežnú informáciu si môžete pozrieť tu : PREDBEŽNÁ INFORMÁCIA


Zodpovedná osoba a GDPR,

článok 39 ods. 1 nariadenia požaduje povinné určenie zodpovednej osoby v troch konkrétnych prípadoch.


a) spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt
b) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu
c) hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky


Tri najdôležitejšie povinnosti vyplývajúce z GDPR


a) Bezpečnostný projekt = Posúdenie vplyvu na ochranu osobných údajov
•  Systematické hodnotenie osobných aspektov - profilovanie
•  Úrad na ochranu OO do 31.12.2017 zverejní zoznam IS, pre ktoré je potrebné vypracovať projekt

b) Evidenčné listy, Oznámenie, Osobitná registrácia = Záznam o spracovateľských činnostiach
•  pre prevádzkovateľov nad 250 zamestnancov
•  pre prevádzkovateľov spracovávajúcich osobitnú kategóriu OÚ
•  platí pre prevádzkovateľa aj sprostredkovateľa

c) Zodpovedná osoba
•  platí pre orgány verejnej moci / štátna správa
•  firmy spracuvávajúce OÚ vo väčšom rozsahu
>  majú 50 a viac zamestnancov
>  ambulancie / nemocnice
>  zamestnanci používajúci čipové karty - záznamy o pohybe
>  monitorovanie zamestnancov v autách - GPS
•  nesmie to byt konateľ / majiteľ
•  povinnosť prepoučiť všetky oprávnené osoby do najneskôr 25.5.2018