Nariadenie - GDPR

GDPR

Nariadenie (GDPR) je schválené a nadobudne platnosť od 25. mája 2018. GDPR nahradí zákon č. 122/2013 Z.z. o ochrane osobných údajov, ktorý bude zrušený. Keďže ide o nariadenie, tak je od dátumu účinnosti priamo vykonateľné.

Takáto posilnená ochrana však ide ruka v ruke s početnými novými povinnosťami pre spoločnosti, ktoré spracúvajú osobné údaje.

Aj keď GDPR bude mať najväčší dopad pre veľké spoločnosti, ktoré spracúvajú značné množstvo osobných údajov, ako sú napríklad banky, farmaceutické, telekomunikačné a energetické spoločnosti, nezanedbateľné množstvo nových povinností prinesie aj pre menšie a stredné podniky ako napríklad e-shopy alebo marketingové spoločnosti. Je to preto, že GDPR sa bude aplikovať na každého, kto spracúva osobné údaje. Dá sa povedať, že dnes už ťažko existuje spoločnosť, ktorá by osobné údaje nespracúvala. Ak máte zamestnancov alebo zákazníkov, je veľmi pravdepodobné, že osobné údaje spracúvate.

OSOBNÉ ÚDAJE

Medzi osobné údaje podľa GDPR patria napríklad:

  • meno a priezvisko

  • fotografia

  • e-mailová adresa

  • telefónne číslo

  • číslo účtu

  • odtlačok prsta

  • IP adresa

  • localizačné údaje

  • hlas

GDPR sa bude týkať tak prevádzkovateľov ako aj sprostredkovateľov

Zákon o ochrane osobných údajov sa síce vzťahoval tak na spoločnosti, ktoré spracúvajú osobné údaje vo svojom mene - prevádzkovatelia (teda spracúvajú „vlastné“ osobné údaje ako napríklad zamestnanci spoločnosti alebo vlastní zákazníci), ako aj na spoločnosti, ktoré spracúvajú dáta pre iné spoločnosti – sprostredkovatelia (napr. spoločnosti umožňujúce ukladanie dát do cloudu, spoločnosti ktoré pre iné firmy vykonávajú mzdovú agendu alebo outsourcované call centrá).

OZNAMOVANIE PORUŠENIA OSOBNÝCH ÚDAJOV

Povinnosť oznámenia incidentu regulátorovi

Povinnosť oznamovať incidenty porušenia osobných údajov spoločnosti spracúvajúce osobné údaje momentálne podľa zákona o ochrane osobných údajov nemajú. Takúto povinnosť však prinesie GDPR. Povinnosť oznamovania incidentov bude zahŕňať takmer každé porušenie osobných údajov (napríklad aj výmenu obálok určených pre dve rôzne osoby). Takáto informácia musí byť Úradu oznámená bez zbytočného odkladu, avšak nie dlhšie ako 72 hodín od momentu, kedy incident nastal.

Odporúčania

Každá spoločnosť by mala do mája 2018 vypracovať interný plán pre oznamovanie a následné riešenie incidentov, ktoré zahŕňajú porušenie ochrany osobných údajov.

Pokuty

So súladom s GDPR by sa mali zaoberať nielen nižšie, ale aj výkonné orgány spoločností (ako napríklad predstavenstvo alebo spoločníci). Pokuty za porušenia podľa GDPR sú takéto:

  • Pokuta až do výšky 20 miliónov eur, alebo v prípade spoločnosti až do výšky 4% celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia. Takáto pokuta bude uložená napríklad v týchto prípadoch:

    • keď neboli splnené podmienky súhlasu so spracovaním, alebo

    • keď boli porušené zásady prenosu dát mimo územia Európskej únie.

  • Pokuta až do výšky 10 miliónov eur, alebo v prípade spoločnosti až do výšky 2% celosvetového ročného obratu v predchádzajúcom finančnom roku, podľa toho, ktorá suma je vyššia. Takáto pokuta bude uložená napríklad v prípadoch:

    • nedostatočná zmluva so sprostredkovateľom, ktorá nespĺňa podmienky podľa GDPR.

      Napríklad sledovanie správania osoby prostredníctvom tracking alebo profiling (pre účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo pre účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby) . Resp. mimo krajín Európskeho hospodárskeho priestoru (EHP).
    • nezabezpečenie dostatočnej bezpečnosti spracúvaných osobných údajov (okrem iného napríklad aj šifrovaním),

    • neoznámenie porušenia ochrany osobných údajov,

    • nenominovanie zodpovednej osoby v tých prípadoch kde to GDPR vyžaduje.

MEDZINÁRODNÉ PRENOSY DÁT

Spoločnosti, ktoré sa domnievali, že GDPR odstráni podmienku uzatvárať mnohostranové zmluvy pred každým prenosom dát mimo územia EÚ zistia, že GDPR túto byrokraciu nemení.

Samozrejme stále platí, že pod prenosom osobných údajov treba chápať relatívne širokú škálu situácií.

Patria k nim nielen situácie, keď zamestnanec z EÚ zašle pdf dokument obsahujúci osobné údaje kolegovi do Ázie, ale aj ak osoba z USA dostane prístup (napríklad prostredníctvom hesla) k údajom zamestnancov alebo klientom z EÚ (napríklad prostredníctvom webového portálu).

Osobné údaje môžu byť prenesené aj k príjemcom do tretích krajín mimo EÚ/EHP. Podmienky prenosu sa odlišujú podľa toho, či cieľová krajina, do ktorej budú osobné údaje prenesené, zaručuje alebo nezaručuje primeranú úroveň ochrany.

RIEŠENIE?

Šifrované riešenia od Salutis Systems, a.s.

Zašifrovaním osobných údajov vo vašich systémoch splníte veľkú časť požiadaviek GDPR! Naše riešenia sú profesionálne a ľahko nasaditeľné a vedia bezkonkurenčne zašifrovať prenos dát v rámci internej firemnej siete, USB kľúče, súbory, pevné disky, vymeniteľné médiá a firemnú komunikáciu.

Kontaktujte nás pre viac informácií
Top