14.6.2018
ID: 4111upozornenie pre užívateľov

Povinnosti prevádzkovateľov v zmysle GDPR

Dňa 25.5.2018, GDPR (General Data Protection Regulation), teda nariadenie európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, nahradí v súčasnosti platnú smernicu 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe údajov. Týmto dňom nadobudne účinnosť aj zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorý slovenský právny poriadok harmonizuje s GDPR.

 
 MST PARTNERS, s. r. o.
 
Cieľom GDPR je predovšetkým rozšírenie práv dotknutých osôb (napr. o právo na prenos alebo právo na výmaz) a ich spresnenie a posilnenie. V zmysle GDPR, prevádzkovatelia musia dotknuté osoby informovať o ich právach a o spôsobe ich uplatnenia. Prevádzkovatelia by teda mali zaviesť také postupy, ktoré by dotknutej osobe pri spracúvaní osobných údajov uľahčili uplatnenie jej práv, a ktoré by zahŕňali mechanizmy na získanie bezplatného prístupu k osobným údajom a ich bezplatnú opravu alebo vymazanie.

Cieľom GDPR je aj posilnenie (už existujúceho) princípu zodpovednosti všetkých subjektov, ktoré spracúvajú osobné údaje. GDPR prináša pre prevádzkovateľov prísnejšie povinnosti, ako napríklad automatické mazanie dát po uplynutí doby. Zakotvila sa nová oznamovacia povinnosť prevádzkovateľa v súvislosti s opravou alebo vymazaním alebo obmedzením spracúvania osobných údajov dotknutých osôb, a to tak voči príjemcom, ktorým osobné údaje boli poskytnuté, ako aj voči samotnej dotknutej osobe. Na druhej strane, nová právna úprava upustila od oznamovacej a registračnej povinnosti prevádzkovateľa vo vzťahu k dozornému orgánu, teda Úradu pre ochranu osobných údajov. Evidenčná povinnosť bude nahradená vedením záznamov o spracovateľských operáciách s tým, že tieto záznamy je povinný viesť aj sprostredkovateľ, oproti evidenčnej povinnosti, ktorú mal podľa pôvodnej právnej úpravy len prevádzkovateľ. S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov GDPR ale obsahuje výnimku (za splnenia určitých podmienok) pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov. Zároveň už nebude potrebné informovať dotknutú osobu o sprostredkovateľovi samotným sprostredkovateľom a o forme zverejnenia, ak  osobné údaje majú byť zverejnené.

Ďalej, prevádzkovateľ bude musieť prijať vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s GDPR. Práve schopnosť prevádzkovateľa preukázať prijatie vhodných bezpečnostných opatrení vyžadovaná nariadením je kľúčová. GDPR dáva v tomto smere viacero možností, ako preukázať interný súlad svojich systémov a procesov s GDPR. Konkrétnymi opatreniami u prevádzkovateľa môže byť napríklad získanie certifikácie o vhodne nastavených interných procesoch a bezpečnostných opatreniach; pristúpenie k schváleným a monitorovaným kódexom správania, vytvorenie internej politiky „Ochrany osobných údajov a súkromia“ (tzv. „Privacy Policy“), vedenie dokumentácie o spracovateľských operáciách a dokumentácie o bezpečnostných incidentov, pseudonymizácia osobných údajov, šifrovanie, poverenie odborníka na ochranu osobných údajov do funkcie zodpovednej osoby, začlenenie nevyhnutných záruk do spracúvania, umožnenie dotknutým osobám monitorovať spracúvanie údajov, ako aj proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

Novým opatrením na zabezpečenie bezpečnosti a ochrany osobných údajov je v zmysle GDPR vykonávanie posudzovania vplyvov na ochranu osobných údajov a to v prípade, ak je pravdepodobné, že spracovateľské operácie povedú k vysokému riziku pre práva a slobody fyzických osôb. Takýmito typmi spracovateľských operácií môžu byť najmä tie, ktoré používajú nové technológie spracúvania údajov, alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu údajov. Posúdenie vplyvu na ochranu údajov môže byť potrebné aj preto, že sa zmenil organizačný alebo spoločenský kontext pre spracovateľskú činnosť, napríklad z dôvodu, že účinky určitých automatizovaných rozhodnutí sa stali závažnejšie alebo nové kategórie dotknutých osôb sa stali zraniteľnejšie voči diskriminácii. Dozorný orgán (Úrad na ochranu osobných údajov SR) by mal vypracovať a zverejniť zoznam tých spracovateľských operácií, ktoré podliehajú, resp. nepodliehajú požiadavke na posúdenie vplyvu na ochranu údajov. Samotná skutočnosť, že neboli splnené podmienky pre vznik povinnosti vykonať posúdenie vplyvu na ochranu údajov, však neznižuje všeobecnú povinnosť prevádzkovateľa vykonávať opatrenia na primerané riadenie rizík pre práva a slobody dotknutých osôb. V praxi to znamená, že prevádzkovatelia musia neustále posudzovať riziká, ktoré vznikajú v dôsledku ich spracovateľských činností, aby mohli identifikovať, keď určitý druh spracúvania „pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb“. Navyše, ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s dozorným orgánom. Prevádzkovateľ by mal navyše hneď ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu.

Okrem vyššie uvedeného, prevádzkovatelia musia za každých okolností zabezpečiť také bezpečnostné opatrenia, ktoré z hľadiska množstva, rozsahu a doby spracúvania minimalizujú balík dát obsahujúcich osobné údaje na nevyhnutné minimum, ktoré je u konkrétneho prevádzkovateľa potrebné na dosahovanie ním stanovených účelov spracúvania(„data protection by default“). Druhou koncepciou je špecifická ochrana osobných údajov („data protection by design“). Táto koncepcia od prevádzkovateľov vyžaduje, aby už pri určovaní prostriedkov spracúvania osobných údajov (teda už vo fáze vývoja novej aplikácie alebo zavádzaní novej služby) implementovali také technické a bezpečnostné opatrenia, ktoré vzhľadom na najnovšie poznatky a náklady na ich realizáciu, budú funkčné počas celého procesu spracúvania osobných údajov.

Ďalej, prevádzkovatelia, ktorý spracúvajú osobné údaje na základe súhlasu dotknutej osoby musia dbať na to, aby bol súhlas poskytnutý slobodne. Napríklad súhlas so spracovaním osobných údajov bude musieť byť v prípade uzatvárania zmluvy oddelený tak, aby bolo jasné, že nie je bezpodmienečne nutný k uzatvoreniu danej zmluvy. Obdobne, udelenie súhlasu vo forme akceptácie všeobecných obchodných podmienok, ktoré obsahujú ustanovenie o udelení súhlasu so spracovaním osobných údajov nebude podľa GDPR dostatočné. Rovnako, podmienený alebo vynútený súhlas je neplatný. napríklad v prípade cookies; ak s používaním cookies dotknutá osoba nesúhlasí nemôže to spôsobiť nemožnosť používania danej webovej stránky. Súhlas je neplatný aj v prípade, ak je jasný nepomer medzi dotknutou osobou a prevádzkovateľom, čo sa v praxi prejaví napr. v pracovnoprávnych vzťahoch, kde zamestnávateľ už nebude môcť spracúvať osobné údaje zamestnanca na základe jeho súhlasu.

Na záver je nevyhnutné uviesť, že každý prevádzkovateľ, ktorý v súčasnosti spracováva osobné údaje, by mal pred samotnou účinnosťou GDPR vykonať audit úrovne súladu s GDPR. Každé oddelenie organizácie – prevádzkovateľa si musí urobiť vlastnú dátovú inventúru a zistiť, kde osobné údaje majú a prečo ich majú, teda aký majú právny titul k tomu, aby ich mohli zbierať a spracovávať. V prípade, že sa osobné údaje spracúvajú na základe iného titulu ako je zakotvený v GDPR je nevyhnutné takéto spracúvanie ukončiť. Každý prevádzkovateľ by si mal prejsť všetky operácie s osobnými údajmi a jasne ich vymedziť, teda pripraviť si ich opis a charakteristiku. Rovnako bude potrebné prejsť aj všetky technológie a právne inštitúty (napr. zmluvy) využívané pri spracúvaní osobných údajov. Uvedené bude pre každého prevádzkovateľa administratívne náročné, z dlhodobého hľadiska však môže každej dotknutej spoločnosti, ktorá sa na GDPR pripravuje priniesť lepší prehľad o vnútorných procesoch spracovania osobných údajov a revíziu bezpečnostných opatrení pri práci s osobnými údajmi.


JUDr. Lívia Mitriková, M.L.S.,
advokátsky koncipient


MST PARTNERS, s. r. o.

Laurinská 3
811 01  Bratislava

Tel.:    +421 2 59 30 80 86
e-mail:    recepcia@mstpartners.sk


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk