10.01.2018, 21:38

Firmy dostanú prísnejšie podmienky

Od mája tohto roka sa pre firmy sprísnia podmienky nakladania s osobnými údajmi ľudí. Prinesie to nielen administratívnu záťaž, ale aj vyššie pokuty.

Biznis, podnikanie
Zdroj: Dreamstime

Odpovedá: Jana Černáková, advokátska kancelária Čechová and Partners


1. Rozdiely v úpravách
V ktorých oblastiach uvoľňuje nový zákon našu súčasnú úpravu?
Znižuje formálne povinnosti vo vzťahu k Úradu na ochranu osobných údajov. Dnes je povinné oznamovanie informačných systémov. Je to povinnosť zo zákona, ktorú si až na výnimky musel splniť každý prevádzkovateľ skôr, ako sa začali spracúvať osobné údaje. Podniky museli najskôr vyplniť formulár predpísaný úradom. Až podaním na úrad mohli začať so spracovaním. Pri osobitnej registrácii bolo potrebné čakať na jej potvrdenie. Najmä pri nadnárodných spoločnostiach to bolo v praxi niekedy ťažko realizovateľné, keďže nie vždy poznali miestne pobočky v dostatočnom predstihu rozsah spracúvania osobných údajov a jeho jednotlivé detaily. Zväčša tieto informácie získali až v rámci spustenia projektu. Narážalo to na problém napríklad pri koordinovanom celosvetovom spustení projektu. Pozitívom však bolo, že firmy oznámením či registráciou dostali odobrenie spracúvania úradom. Plnilo to nielen formálnu povinnosť, ale aj akúsi ochrannú funkciu.

2. Zodpovedná osoba
Vnímate ako uvoľnenie aj povinnosť ustanovovať zodpovednú osobu, ktorá bude povinná pre užší okruh subjektov než doteraz?
V zmysle nášho zákona dnes nie je ustanovenie zodpovednej osoby povinné. V tomto ide naopak o sprísnenie. Uvoľnenie však nastáva v oblasti požiadaviek na zodpovednú osobu, ktorá napríklad už nebude musieť povinne absolvovať skúšku na Úrade na ochranu osobných údajov. Je tu aj praktická línia. Zodpovednú osobu je potrebné určiť v každom podniku, či už v rámci plnenia povinností GDPR alebo na základe dobrovoľného rozhodnutia. Každý podnik určitým spôsobom osobné údaje spracúva, a teda sa naň bude zákon o ochrane osôb vzťahovať a bude musieť plniť tam stanovené povinnosti. Ak nebude mať takúto zodpovednú osobu, tak v zásade nebude v podniku nik, kto by vedel zabezpečiť plnenie alebo koordináciu pri plnení týchto povinností.

3. Právomoci zodpovednej osoby
Zákon definuje zodpovednú osobu? Aké má právomoci vo firmách?
Z hľadiska zabezpečenia kvality ochrany osobných údajov je určená požiadavka na poverenie zodpovednej osoby aj úspešné absolvovanie skúšky fyzickej osoby na úrade, a to zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Fyzická osoba tak môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky. Pretože zodpovedná osoba svojím postavením a úlohami vplýva a zasahuje do celého procesu spracúvania osobných údajov, cieľom zavedenia takejto funkcie bolo, aby sa u prevádzkovateľa zvýšila a udržiavala vyššia úroveň ochrany osobných údajov, ktorá bude korešpondovať s aktuálnym legislatívnym stavom v tejto oblasti. Postavenie poverenej zodpovednej osoby je posilnené aj právom vstupovať do informačných systémov, aby mohla plniť zákonné úlohy. Prevádzkovateľ je povinný jej takýto prístup umožniť.

4. Sprísnenie a zmeny
V čom zákon naopak sprísňuje aktuálnu právnu úpravu ochrany osobných údajov?
Nariadenie širšie definuje osobné údaje, takže povinnosti sa budú týkať väčšej skupiny údajov. Zároveň ukladá povinnosť ustanoviť zodpovednú osobu v určitých prípadoch spracúvania osobných údajov. Zmeny sú aj v udeľovaní súhlasov so spracúvaním osobných údajov. Hoci zákon neustanovuje presný obsah súhlasu, na rozdiel od súčasného zákona, nepriamo určuje podmienky, za akých sa má a nesmie získavať. Príkladom je klasické opt-in a opt-out, využívané najmä v elektronickej komunikácii. Doteraz boli do určitej miery akceptované aj opt-out súhlasy, teda vopred zaškrtnuté políčka so súhlasom, ktoré však ľudia často prehliadali. Zákon výslovne zakazuje opt-out súhlasy. Dovolené sú už iba opt-in, teda aktívne zaškrtnutie políčka súhlasu dotknutej osoby. Vo všeobecnosti sa podľa neho nečinnosť a neprejavenie vôle už nemôže považovať za súhlas.

5. O čom sa nevie
Po novom musí byť zároveň súhlas udelený na každý účel spracovania údajov osobitne. Znamená to pre firmy, že budú musieť všetky súhlasy získať nanovo?
Tento problém sa údajne ešte stále rieši na európskej úrovni. Domnievame sa však, že ak staré súhlasy spĺňajú podmienky GDPR, nemalo by byť potrebné získavať ich nanovo.

6. Prvé kroky
Ako má firma začať s revíziou?
Prvým krokom by mala byť revízia osobných údajov, ktoré spracúva. Najlepšie je, aby sa stretli zodpovední pracovníci – v praxi HR, IT, manažér obchodnej divízie a podobne, ktorí majú najlepší prehľad o informáciách, ktoré podnik dostáva a spracúva, a teda aj o prípadných osobných údajoch. Potom sa pripraví sumár osobných údajov a ich spracúvania, teda čo vlastne podnik spracúva, za akým účelom a v akom rozsahu. Na základe sumáru zodpovedná osoba vyhodnotí, aké právne základy spracúvania podnik používa, aký druh osobných údajov spracúva, aké sú s tým spojené riziká a ako je potrebné spracúvanie zabezpečiť. Predovšetkým posledná časť, riziká spracúvania a jeho zabezpečenie, by sa mala realizovať v spolupráci s IT oddelením.

7. Odrazový mostík
Prvým krokom by teda mala byť revízia osobných údajov, ktoré firma spracúva?
Táto povinnosť do určitej miery vyplýva aj zo zákona, ktorý ukladá povinnosť určitému typu podnikov viesť záznamy o spra

Nenechajte sa obmedzovať

Tento článok je súčasťou exkluzívneho obsahu HN. Pokiaľ si ho chcete dočítať do konca, predplaťte si jeden z troch nasledujúcich balíkov

Prihláste sa na odber noviniek zo sveta politiky, ekonomiky a biznisu.

Cookies

Na našich stránkach používame cookies. Slúžia na zlepšenie našej práce a vášho zážitku z čítania HNonline.sk. Bližšie informácie nájdete v Pravidlách používania cookies. Spracovanie a správu cookies nastavíte priamo vo Vašom prehliadači.