Najdôležitejšie zmeny v zákone podľa GDPR

Nový zákon o ochrane osobných údajov je od 30. januára zverejnený v Zbierke zákonov SR. Je v súlade s nariadením (GDPR) a prináša zmeny, ktoré sa dotknú každej firmy, podnikateľa a organizácie na Slovensku, ktorá pri svojej činnosti spracúva osobné údaje zákazníkov, klientov, zamestnancov.

1. Pôsobnosť nového zákona o ochrane osobných údajov

Nový zákon o ochrane osobných údajov sa bude vzťahovať aj na tých prevádzkovateľov alebo sprostredkovateľov, ktorí nemajú sídlo na území členského štátu  (medzi ktoré patria členské krajiny Európskej únie a krajiny, ktoré sú zmluvnou stranou dohody o Európskom hospodárskom priestore),  spracúvajú však osobné údaje dotknutých osôb, ktoré sa nachádzajú na území Slovenskej republiky, a to v súvislosti s ponukou tovarov alebo služieb.

Dôležitým je jasný úmysel prevádzkovateľa alebo sprostredkovateľa ponúkať tovar alebo službu zákazníkom (dotknutým osobám), ktorí sa nachádzajú na území Slovenska.

Príklad:

Zo samotnej dostupnosti elektronického obchodu (e-shopu), prostredníctvom ktorého prevádzkovateľ predáva svoj tovar jednotlivcom na území Slovenska ešte nemusí byť zjavný úmysel prevádzkovateľa ponúkať tento tovar aj jednotlivcom na území Slovenska.

Inak však bude posudzovaná situácia, keď súčasťou e-shopu bude:

  • použitie slovenského jazyka,
  • použitie meny euro,
  • uvedenie skúseností slovenských zákazníkov,
  • zobrazenie mapky Slovenska ako územia, kde prevádzkovateľ obvykle dodáva svoj tovar.

Takýto prevádzkovateľ e-shopu bude podliehať pravidlám nášho zákona o ochrane osobných údajov, keďže je zjavné, že má v úmysle spracúvať osobné údaje fyzických osôb (svojich zákazníkov), ktoré sa nachádzajú na území Slovenskej republiky.

2. Integrita a dôvernosť

Kým doteraz sme integritu a dôvernosť považovali za bezpečnostné požiadavky, ktoré boli kladené na spracúvanie osobných údajov, podľa nového budeme pokladať zabezpečenie integrity a dôvernosti za základné zásady spracúvania osobných údajov.

Pričom:

  • Integritou rozumieme vlastnosť zabezpečujúcu presnosť a kompletnosť spracúvaných osobných údajov.
  • Dôvernosťou rozumieme vlastnosť, na základe ktorej osobné údaje nie sú sprístupňované a odhaľované neautorizovaným osobám.

3. Súhlas so spracúvaním

Súhlas so spracúvaním osobných údajov je rovnocenným právnym základom pre spracúvanie osobných údajov. Nový zákon o ochrane osobných údajov však jednoznačne definuje, že súhlas so spracúvaním osobných údajov musí byť odlíšený od iných skutočností a zároveň musí byť vyjadrený jasne, v zrozumiteľnej a ľahko dostupnej forme.

Príklad:

Porušením zákona o ochrane osobných údajov je, a aj naďalej bude situácia, keď prevádzkovateľ prostredníctvom zmluvy informuje svojho zákazníka, že podpisom zmluvy mu udeľuje súhlas so spracúvaním osobných údajov aj za účelom jeho kontaktovania v súvislosti s ponukou súvisiacich služieb.

Pri všetkých súhlasoch je preto potrebné preveriť napríklad to:

  • či je súhlas správne zvoleným právnym základom spracúvania,
  • či je dotknutá osoba jasne a zrozumiteľne informovaná o tom, ako budú jej osobné údaje spracúvané
  • a či prevádzkovateľ vie preukázať udelený súhlas (dôkaz o udelenom súhlase).

Zároveň nový zákon vo svojich prechodných ustanoveniach hovorí, že:

súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom, sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.

4. Oprávnený záujem

Podľa súčasného zákona o ochrane osobných údajov (zákon č. 122/2013 Z. z. ) sa s oprávneným záujmom stretávame v súvislosti so spracúvaním osobných údajov, ktoré

je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.

Použitie tohto právneho základu bolo v praxi dosť obmedzené a prevádzkovateľ si nemohol stanoviť vlastný subjektívny oprávnený záujem tak, ako to bude možné podľa nového zákona o ochrane osobných údajov.

Použitie oprávneného záujmu, ako nového právneho základu však nepripadá do úvahy vtedy, ak nad záujmami prevádzkovateľa prevažujú záujmy alebo práva dotknutej osoby. Preto by pred samotným začatím spracúvania osobných údajov mal prevádzkovateľ oprávnený záujem dôkladne posúdiť a posúdenie vedieť následne preukázať (vhodným zdokumentovaním).

5. Monitorovanie priestorov prístupných verejnosti a jednorázový vstup

Ak ste kamerovým systémom monitorovali tzv. priestor prístupný verejnosti, potom ste ako právny základ spracúvania osobných údajov uvádzali priamo zákon o ochrane osobných údajov. Tento vo svojom § 15 ods. 7 upravoval práve podmienky spracúvania osobných údajov v súvislosti s monitorovaním priestorov prístupných  verejnosti.

Podobne postupujú aj tie organizácie, ktoré si vedú tzv. knihu návštev. Zapisujú si údaje ľudí, ktorí vstupujú do priestorov ich organizácie. Aj v tomto prípade, bol právnym základom pre získavanie osobných údajov terajší zákon o ochrane osobných údajov, konkrétne vo svojej časti § 15 ods. 4. Po novom bude právnym základom práve spracúvanie osobných údajov oprávnený záujem, ktorý uvádzame vyššie.

6. Rodné číslo

Kým podľa súčasného zákona o ochrane osobných údajov patrilo rodné číslo (v zákone ako „všeobecne použiteľný identifikátor“) do osobitnej kategórie osobných údajov, podľa nového to už tak nebude. Jeho použite je však aj naďalej možné len vtedy, ak je to nevyhnutné s ohľadom na dosiahnutie vytýčeného účelu spracúvania.  V prípade, ak je rodné číslo spracúvané na základe súhlasu, potom udelený súhlas musí byť výslovný (nemôže ísť napríklad o súhlas udelený konaním). Aj naďalej platí, že zverejňovanie rodného čísla je zakázané, okrem prípadu, keď ho zverejní sama dotknutá osoba.

7. Informovanie dotknutej osoby

Podľa nového bude potrebné dotknutú osobu informovať o spracúvaní jej osobných údajov (keď prevádzkovateľ získava osobné údaje priamo od nej) aj vtedy, keď je právnym základom pre spracúvanie osobných údajov osobitný zákon. Podľa súčasného zákona bol právny základ spracúvania –  osobitný zákon jednou z výnimiek, kedy nebolo potrebné plniť informačnú povinnosť voči dotknutým osobám. Podľa nového to už tak nie je.

Zároveň dochádza k zmenám v informáciách, ktoré bude prevádzkovateľ dotknutej osobe povinne poskytovať, a to ešte pred získaním jej osobných údajov. Aj tu platí zásada, že prevádzkovateľ musí vedieť preukázať, že si uvedenú povinnosť splnil.

V podmienkach organizácii bude potrebné preveriť, či je informačná povinnosť dostatočne splnená a zároveň aj to, či plnenie tejto povinnosti vie prevádzkovateľ dostatočne preukázať (napríklad vo forme listinného záznamu).

8. Spoločný prevádzkovateľ

Samotný pojem prevádzkovateľ poznáme už z minulosti. Spoločný prevádzkovateľ je však v našom novom zákone novinkou. Aj keď v praxi sme sa s ním stretávali, zákon ho zatiaľ nedefinoval.

Príklad:

Dve organizácie – dvaja samostatní prevádzkovatelia využívajú jeden elektronický obchod k predaju svojich tovarov. Ide o spoločných prevádzkovateľov, ktorí sú povinní dohodou určiť okrem iného aj zodpovednosť každého z nich za výkon práv dotknutých osôb. Základné náležitosti tejto dohody bude prevádzkovateľ povinný poskytnúť dotknutej osobe.

9. Prevádzkovateľ a sprostredkovateľ

Zmeny sa dotknú aj spolupráce týchto dvoch subjektov. Každý prevádzkovateľ by mal vedieť preukázať, že pri výbere vhodného sprostredkovateľa dbal na dostatočné záruky, ktoré sprostredkovateľ prijal v oblasti technických a organizačných opatrení.

Zmeny sa týkajú aj povinných náležitostí zmlúv medzi prevádzkovateľom a sprostredkovateľom. Zmluvy bude preto potrebné doplniť tak, aby boli v súlade s novým zákonom o ochrane osobných údajov.

Príklad:

Už nebude potrebné, aby písomná zmluva obsahovala aj názov informačného systému prevádzkovateľa, čo v praxi spôsobovalo komplikácie najmä v prípadoch, keď sprostredkovateľ poskytoval službu veľkému množstvu prevádzkovateľov a nebolo možné osobitne upravovať každú jednotlivú zmluvu.

Sprostredkovateľovi však pribudla nová povinnosť. Tou je, že musí bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že pokynom prevádzkovateľa porušuje napríklad zákon o ochrane osobných údajov.

Nový zákon už jednoznačne definuje, že zmluva alebo iný právny úkon, na základe ktorého prebieha spolupráca medzi prevádzkovateľom a sprostredkovateľom môže byť uzatvorený okrem listinnej aj v elektronickej podobe.

10. Záznamy o spracovateľských činnostiach

Evidencie a oznámenia informačných systémov úradu, tak ako ich poznáme dnes, už nebude.

Príklad:

Prevádzkovateľ už podľa nových postupov nebude musieť úradu oznamovať informačný systém, v ktorom spracúva osobné údaje príjemcov svojich reklamných e-mailových správ.

Vzniká však nová povinnosť, a tou je – vedenie záznamov o spracovateľských činnostiach. Pričom zákon vymedzuje náležitosti týchto záznamov. Novinkou je to, že túto povinnosť si musia plniť už aj sprostredkovatelia. Nepôjde teda o povinnosť, ktorá sa týka výlučne prevádzkovateľov, tak ako to bolo v súvislosti s povinnou evidenciu a oznámením informačných systémov. Po novom budú povinní viesť záznamy o spracovateľských činnostiach nie len prevádzkovatelia, ale už aj sprostredkovatelia.

11. Povinné oznamovanie bezpečnostných incidentov úradu a dotknutým osobám

Nie každý bezpečnostný incident sa týka spracúvaných osobných údajov. No tie, prostredníctvom ktorých došlo k porušeniu bezpečnostných opatrení spracúvaných osobných údajov bude potrebné:

  • oznámiť Úradu na ochranu osobných údajov SR, a to vtedy, ak je pravdepodobné, že porušenie povedie k riziku pre práva fyzickej osoby,
  • oznámiť dotknutým osobám, a to vtedy, ak porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzických osôb.

Príklad:

Prevádzkovateľovi bol ukradnutý notebook, na ktorom boli spracúvané a uchovávané osobné údaje v nezašifrovanej podobe. Prevádzkovateľ nemá k dispozícii záložnú kópiu spracúvaných údajov.

Keďže ide o bezpečnostný incident, ktorým došlo k porušeniu ochrany spracúvaných osobných údajov, je prevádzkovateľ povinný toto porušenie oznámiť v lehote 72 hodín úradu. V závislosti od povahy spracúvaných osobných údajov aj dotknutým osobám v prípade, ak by tento bezpečnostný incident mohol viesť k vysokému riziku pre práva dotknutých osôb.

Každý prevádzkovateľ preto musí byť pripravený:

  • rozpoznať bezpečnostný incident,
  • posúdiť riziko pre práva dotknutých osôb,
  • oznámiť porušenie ochrany spracúvaných osobných údajov úradu, prípadne aj dotknutým osobám.

12. Posúdenie vplyvu na ochranu osobných údajov

Podľa nových pravidiel už organizácia nebude potrebovať bezpečnostný projekt. Novou povinnosťou však je – vykonať a náležite zdokumentovať tzv. posúdenie vplyvu na ochranu osobných údajov.

Nový zákon vymedzuje situácie, kedy je organizácia povinná vykonať posúdenie vplyvu na ochranu osobných údajov. Napríklad, keď dochádza k systematickému monitorovaniu verejne prístupných priestorov vo veľkom rozsahu.

13. Zodpovedná osoba

Pojem zodpovednej osoby poznáme už dnes. Ide o niekoho, kto vykonáva dohľad nad spracúvaním osobných údajov v podmienkach organizácie. Často je ňou personalista, ekonóm alebo konateľ spoločnosti. Jednou z povinností súčasného zákona bolo, že budúca zodpovedná osoba musela najskôr absolvovať skúšku na výkon funkcie zodpovednej osoby. Až po jej úspešnom absolvovaní mohla funkciu zodpovednej osoby vykonávať. Podľa nového už skúška nebude potrebná.

Kým však doteraz bolo určenie zodpovednej osoby na báze dobrovoľnosti – prevádzkovateľ sa sám rozhodoval, či poverí alebo nepoverí výkonom dohľadu zodpovednú osobu, nový zákon o ochrane osobných údajov definuje organizácie a situácie spracúvania osobných údajov, kedy bude poverenie zodpovednej osoby povinné.

Kontaktné údaje zodpovednej osoby je po novom prevádzkovateľ a sprostredkovateľ povinný zverejniť napríklad na firemnom webe.

Nový zákon o ochrane osobných údajov hovorí, že

zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa tohto zákona alebo osobitného predpisu, sa považuje za zodpovednú osobu podľa predpisov účinných od 25. mája 2018.

Nie každá zodpovedná osoba, ktorá bola poverená podľa doterajšieho zákona o ochrane osobných údajov spĺňa predpoklady pre výkon funkcie podľa nového zákona. Platí totiž, že žiadna z úloh, ktorú zabezpečuje zodpovedná osoba nesmie viesť ku konfliktu záujmov, a to z toho dôvodu, aby zodpovedná osoba mohla svoju funkciu vykonávať nezávisle. Ako vyplýva z dokumentu „Usmernenie týkajúce sa zodpovedných osôb“, ktoré bolo prijaté 13. decembra 2016:

Spravidla platí, že k pozíciám, ktoré by mohli v rámci organizácie viesť ku konfliktu záujmov, môžu patriť pozície vo vyššom vedení (ako napríklad generálny riaditeľ, výkonný riaditeľ, finančný riaditeľ, hlavný lekár, vedúci marketingového oddelenia, vedúci oddelenia ľudských zdrojov alebo vedúci oddelenia informačných technológií), ale aj iné pozície na nižšej úrovni organizačnej štruktúry, pokiaľ sú tieto pozície alebo úlohy spojené s rozhodovaním o účeloch a prostriedkoch spracúvania. Konflikt záujmov môže okrem toho vzniknúť aj vtedy, ak je napríklad externá zodpovedná osoba požiadaná, aby prevádzkovateľa alebo sprostredkovateľa zastupovala pred súdom v prípadoch týkajúcich sa záležitostí ochrany osobných údajov.

Loading
2018-12-02T19:19:13+00:00