O GDPR

Európske nariadenie General Data Protection Regulation (GDPR) prináša nové pravidlá ochrany osobných údajov. Od mája 2018 majú občania väčšiu kontrolu nad svojimi údajmi a podnikmi prospech z rovnakých podmienok. Zákon 101/2000Sb je minulosťou. Musíte však plniť celý rad nových povinností, napr. viesť záznamy o spracovaní.

GDPR prináša celý rad nových povinností

Vďaka EÚ nariadenia o ochrane osobných dát vznikajú nové adaptačné zákony a rušia sa tie, čo súvisia so zákonom 101/2000Sb.Na mnohé organizácie čaká množstvo nových povinností, ako napr.

• Hlásenie incidentov na ÚOOÚ

• Audit Posúdenie vplyvu na ochranu osobných údajov"

• Vymenovanie Poverenec na ochranu osobných údajov

Akýkoľvek subjekt, ktorého dáta ukladáte bude mať od 25. mája 2018 obrovské práva, napr. byť zabudnutý. Úplne likvidačné sú pokuty.

Ako GDPR vzory pomôžu so zaistením zhody v oblasti spracovania osobných údajov?

GDPR Dokumentáciu ste povinní predložiť ÚOOÚ (Úradu pre ochranu osobncieh údajov na vyžiadanie).Riadne zdokumentovať, že vaša organizácia spĺňa nové pravidlá na ochranu osobných údajov, je tak jedna z najnáročnejších požiadaviek.

Akonáhle u vás bude z akéhokoľvek dôvodu zahájená kontrola z dozorného úradu ÚOOÚ, jednou zo základných požiadaviek GDPR, s ktorým budete konfrontovaní, je riadne zdokumentovanie spracovávaných osobných údajov, ich účelov a záznamov o činnostiach.

Jedna z nových, ale zároveň aj kľúčových povinností je napr. viesť záznamy o činnostiach spracovania. Zdokumentovať na aké účely, aké údaje a za akých podmienok spracovávate. Potrebujete mať správne nastavené vnútorné smernice, zoznámenie zamestnancov s pokynmi v oblasti spracovania a množstvo ďalších dokumentov.

Všeobecné nariadenie o ochrane osobných údajov (General Data Protection Regulation, GDPR) rade organizácií ukladá povinnosť vytvoriť pozíciu poverenca pre ochranu osobných údajov a obsadiť ju kvalifikovanou osobou.

Poverencom na ochranu osobných údajov môže byť určený interný zamestnanec, rovnako ako externý odborník. Skupina podnikov alebo verejnoprávnych subjektov môže navyše vymenovať jedného poverenca, ktorý bude úlohy vyplývajúce z GDPR plniť pre všetky z nich.

Organizácia však vždy musí zabezpečiť, aby povereník na ochranu osobných údajov nebol v konflikte záujmov, tzn. aby sám o niektoré spracovaní rozhodoval a nastavoval jeho konkrétne parametre.

Je vaša právna povinnosť vymenovať splnomocnených osôb na ochranu osobných údajov? Alebo patríte do kategórie tých, ktorým je to "odporúčané" ako súčasť GDPR compliance programu?Subjektov, pre ktoré vyplýva povinnosť vymenovať povereníkov na ochranu osobných údajov priamo z právnych predpisov, predovšetkým GDPR, alebo pre ktoré to je z rôznych spôsobov vhodné a výhodné, bude celý rad. Menovite:

(1) Verejná správa

Orgán verejnej správy alebo samosprávy a ďalšie verejné inštitúcie, ktoré vykonávajú verejnoprávnu agendu alebo vedú správne alebo obdobné konanie.Poverencov tak musí menovať:

• Ministerstvá

• Kraje, štatutárne mestá, obce, školy

• Bezpečnostné zložky (Polícia Českej republiky, štátne zastupiteľstvo, colná správa)

• Ústredný správny úrad či nezávislý orgán verejnej moci (Štátny úrad inšpekcie práce, Český štatistický úrad, ČNB...)

• Samosprávne komory (Česká lekárska komora, Komora audítorov, Exekútorská komora či Česká komora architektov...)

(2) Organizácie a firmy

Organizácia, ktorá vykonáva rozsiahle a pravidelné spracovanie osobných údajov vrátane monitorovania a profilovania dotknutých osôb.Nevytvorenie pozície poverenca pre ochranu osobných údajov, jej nesprávne organizačné zaradenie alebo jej obsadenie osobou, ktorá nemá dostatočné znalosti práva a praxe spracovania osobných údajov, môže byť posúdené ako porušenie GDPR pod hrozbou sankcie až 10 miliónov alebo 2 % z celosvetového obratu danej skupiny podnikov, podľa toho, ktorá čiastka je vyššia.

Táto najširšia kategória zahŕňa spoločnosti naprieč odvetviami:

• Telco operátori

• Personálne agentúry

• Dodávateľ či distribútor energií

• Prevádzkovatelia vernostných systémov

• Bytové družstvá, správy bytových fondov

• Banky, Poisťovne, nebankový poskytovateľ úverov

• Poskytovateľ cloudových nástrojov na rozsiahle spracovanie údajov

• Prevádzkovatelia kamerových, či zabezpečovacích systémov, ktoré zachytávajú verejné priestory

• eShopy, online reklamné nástroje využívajúce cookies, či iné nástroje na sledovanie užívateľov

(3) Zdravotníctvo

Do tejto kategórie spadajú všetky inštitúcie, ktorých činnosť spočíva v spracovaní citlivých osobných údajov (o zdravotnom stave, biometrických či genetických údajov, údajov o rasovom či etnickom pôvode, o sexuálnej orientácii...) Poverencov tam musí mať

• Zdravotné poisťovne

• Genetické laboratóriá

• Stredné a väčšie zdravotnícke zariadenia (poliklinika, nemocnica)

• Prevádzkovateľ systémov pre biometrickú identifikáciu či autentizáciu

(4) Ostatné organizácie a inštitúcie

Poverencov pre ochranu osobných údajov môžu vymenovať aj ďalšie organizácie, ktorým táto povinnosť priamo z právnej úpravy nevyplýva. Vytvorenie funkcie poverenca a jej obsadenie kvalifikovaným zamestnancom podľa požiadaviek GDPR môže byť dôležitou súčasťou compliance programu, a prispieť tak k doloženiu súladu činnosti organizácie s právnymi požiadavkami.

Dobrovoľné vymenovanie poverenca pre ochranu osobných môže byť významným pozitívnym signálom o tom, že daná organizácia kladie dôraz na riadne spracovanie osobných údajov a zabezpečenie jeho súladu s právnymi požiadavkami ako pre klientov, tak pre zamestnancov či dodávateľov danej organizácie.

Dostatočne nastavený av praxi vymáhaný compliance program môže byť aj nástrojom na zamedzenie trestnej zodpovednosti danej právnickej osoby.

V akých prípadoch sa odporúča vymenovaním poverenca ako pozitívny signál k ÚOOÚ?

• Všade tam, kde existuje väčšie riziko útoku na dáta

• Pri spracovaní osobných dát (klientov, zamestnancov) vo väčšom rozsahu

• Vo vysoko regulovanom prostredí, napr. banka so zameraním na korporátnu klientelu

• U všeobecne citlivých informácií (obchodné tajomstvo, informácie chránené osobitnou mlčanlivosťou)

• Pri skupine menších podnikov, na ktoré jednotlivo povinnosť menovať povereníkov nedopadá, ale ktoré v súhrne vykonávajú komplexné a rozsiahlejšie spracovanie dát

Každá organizácia, ktorá poverenca menuje, je zodpovedná nielen za to, že vybrala dostatočne kvalifikovanú osobu, ale že poverenci pridelia zdroje na to, aby svoju kvalifikáciu aj naďalej udržiaval a rozvíjal.

Požiadavky na pozíciu Poverenca

Poverenec na ochranu osobných údajov musí mať aspoň základné znalosti práva a praxe v oblasti spracovania osobných údajov. A mal by mať aj základnú schopnosť orientácie v informačnej bezpečnosti, nastavovaní a riadení procesov a vykonávaní auditu. Zdá sa to ako náročná úloha, ale na túto pozíciu vás pripravíme v medzinárodne certifikovanom kurze, ktorý nevyžaduje žiadne vstupné predpoklady.

Agenda Poverenca pre ochranu osobných údajov

Čo všetko patrí do agendy poverenca na ochranu osobných údajov?Z titulu Poverenca pre ochranu osobných údajov na vás môže organizácia uložiť množstvo úloh. Participácia na vzdelávanie zamestnancov, revízia interných smerníc a zmlúv (ktoré sa týkajú spracovania osobných údajov). Vedenie záznamov o spracovaní a reportovaní prípadov, kedy došlo k porušeniu bezpečnosti dát na ÚOOÚ.

Ďalšia agenda:

• Zástupca pre komunikáciu s ÚOOÚ

• Kontaktný bod pre všetkých zainteresovaných v spracovaní osobných údajov

• Monitorovanie aktivít v súvislosti s dodržiavaním GDPR, spolupráca na auditoch

• Poskytovanie interného "poradenstva" spracovanie osobných údajov pre vedenie, ale aj zamestnancov

Postavenie Organizácie, Správcu, Spracovateľa a Poverenca

Vymenovaním poverenca na ochranu osobných údajov však povinnosti organizácie na zabezpečenie súladu s GDPR nekončia, ale skôr začínajú. Organizácia, či už správca alebo spracovateľ osobných údajov, musí okrem iného zabezpečiť, že povereník bude včas av dostatočnom rozsahu zapojený do všetkých procesov majúci vzťah k spracovaniu osobných údajov a nastavovaniu jeho parametrov, že bude mať dostatočné zdroje na plnenie svojich úloh, že bude pri ich plnení nezávislý a že bude mať vo veciach ochrany dát prístup k vedeniu organizácie.