Približne 530-tisíc subjektov na Slovensku sa bude musieť pripraviť na prísnejšiu ochranu osobných údajov, ktorú diktuje najväčšia európska regulácia GDPR (General Data Protection Regulation). Budú musieť zmeniť procesy a informačné systémy, čo ich bude stáť vyše 40 miliónov eur.
S prípravou musia začať už dnes, aby stihli zosúladiť svoje systémy s novými požiadavkami. Inak im hrozia likvidačné pokuty.
Výber najdôležitejších zmien
Likvidačné pokuty – Na dodržiavanie pravidiel bude dohliadať slovenský Úrad na ochranu osobných údajov.
Predpokladá sa, že nebude kontrolovať spoločnosti, ktoré súlad s GDPR preukážu auditom od certifikačnej autority. Ak úrad zistí porušenie, môže spoločnosť upozorniť, dať jej úradné pokarhanie, pozastaviť spracovanie údajov, prípadne udeliť pokutu až do výšky 20 miliónov eur alebo do výšky 4 % z celkového ročného obratu.
Účel spracovania osobných údajov – Spoločnosti majú niekoľko až niekoľko desiatok rôznych databáz, v ktorých zhromažďujú rôzne skupiny osobných údajov.
Nová regulácia prísnejšie stanovuje, aké právne základy sú zákonné. Ako právny základ už neobstojí napríklad spracúvanie údajov, ktoré už boli zverejnené alebo spracúvanie údajov pre priamy marketing. Pre tieto prípady budú musieť hľadať spoločnosti iné zákonné dôvody, získať súhlasy dotknutých osôb alebo jednoducho prestať zhromažďovať údaje s týmto účelom.
Udelenie súhlasu – Ak pre spracovanie osobných údajov nenájde spoločnosť právny základ, musí naň mať súhlas dotknutých osôb.
Najväčšími zmenami oproti súčasnému stavu je nutnosť získať súhlas na každý účel spracovania osobných údajov zvlášť, pričom tento súhlas musí byť jasne oddelený od ostatných častí – napríklad ako samostatný článok zmluvy. V prípade elektronických dokumentov je najdôležitejšou zmenou zákaz zaškrtnutia políčka udelenia súhlasu vopred. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas nepovažujú. Spracúvanie údajov detí na základe súhlasu bude možné od 16 rokov, inak bude potrebný súhlas rodičov.
Priznanie úniku – Do 72 hodín od zistenia porušenia ochrany osobných údajov musí spoločnosť informovať Úrad na ochranu osobných údajov.
Súčasťou oznámenia musí byť aj opis pravdepodobných dopadov a prijatých alebo plánovaných opatrení na nápravu. Ak existuje vysoké riziko pre práva a slobody dotknutých osôb, musí spoločnosť porušenie oznámiť aj im. Ak by si informovanie všetkých dotknutých osôb vyžiadalo neprimerané úsilie, môže spoločnosť zvoliť aj inú cestu a informovať o tom verejnosť.
Poskytovanie informácií – Na požiadanie budú musieť spoločnosti dotknutej osobe poskytnúť kópie osobných údajov, ktoré o nej spracúvajú, s akým účelom a kto k nim má prístup.
Splnenie tejto požiadavky si vyžiada veľké zásahy do existujúcich informačných systémov, keďže takéto funkcionality dnes bežne neobsahujú. Na vyhovenie žiadosti budú mať mesiac, v zložitých prípadoch tri mesiace. Ak by bola žiadosť osoby o informácie neopodstatnená alebo sa opakovala, môže spoločnosť službu spoplatniť alebo odmietnuť.
Právo na vymazanie / zabudnutie – Už dnes je v niektorých legislatívach štátov zakotvené právo dotknutej osoby na zabudnutie v internetovom prostredí.
GDPR zjednocuje definíciu a podmienky uplatnenia tohto práva a nazýva ho právo na výmaz. Osoba môže žiadať o výmaz, ak sa naplnil účel spracovania jej osobných údajov, ak odvolá súhlas či ak sa spracúvali nezákonne. Pravidelne musí plnenie účelu kontrolovať a prípadne likvidovať aj samotná spoločnosť z vlastnej zodpovednosti. Okrem toho musí informovať aj všetkých príjemcov zverejnených údajov, aby vymazali odkazy na tieto údaje. Spoločnosť nevyhovie žiadosti o výmaz, ak jej spracovanie údajov prikazuje iný právny základ (napríklad banky musia podľa zákona o bankách uchovávať určitú dobu informácie o hypotekárnom úvere aj po jeho splatení).
Bezpečnosť spracovania – Spoločnosti musia prijať opatrenia, aby spracúvali osobné údaje bezpečne.
Môžu údaje pseudonymizovať, napríklad šifrovať. To umožňuje priamu identifikáciu osoby až po odšifrovaní. Za vhodné bezpečnostné opatrenia sa považuje aj schopnosť včas obnoviť dostupnosť osobných údajov v prípade incidentu, pravidelné testovanie a v určitých prípadoch posudzovanie vplyvov spôsobu spracovania na ochranu osobných údajov. Súčasťou týchto opatrení je aj minimalizácia spracúvaných údajov. Spoločnosti by si nemali pýtať osobné údaje navyše len pre istotu. Regulácia nabáda aj k ochrane „by design“, čo zjednodušene znamená, že spoločnosti by už pri vývoji nových produktov, služieb či postupov mali zapracovať požiadavky vyplývajúce z GDPR.
Rozšírenie pôsobnosti – GDPR rozšírila definíciu pojmu osobný údaj.
Nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Ochrana sa teda vzťahuje aj na údaje, ako sú lokalizačné údaje, email či IP adresa. Rozšírila sa aj teritoriálna pôsobnosť ochrany – vzťahuje sa na prevádzkovateľov a sprostredkovateľov z Európskej únie bez ohľadu na to, kde spracúvajú údaje. A zároveň sa vzťahuje aj na prevádzkovateľov a sprostredkovateľov mimo EÚ, ktorí spracúvajú údaje osôb z EÚ.
