Dňa 25.05.2018 vstupuje do platnosti nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 General Data Protection Regulation, známe pod skratkou GDPR (všeobecné nariadenie o ochrane údajov). Keďže ide o nariadenie, je automaticky platné vo všetkých krajinách Európskej únie. Nový zákon č. 18/2018 Z. z. o ochrane osobných údajov (začne platiť od rovnakého termínu) len harmonizuje slovenský právny poriadok s nariadením GDPR.
Koho sa nariadenie týka?
GDPR sa týka každého, kto narába s osobnými údajmi fyzických osôb. Fyzickými osobami v zmysle úpravy sú len nepodnikatelia (nariadenie sa netýka obchodných vzťahov). V praxi sú nimi zamestnanci, zákazníci, alebo návštevníci webovej stránky, ktorí nie sú podnikateľmi. Každá fyzická osoba, ktorej osobné údaje sa spracúvajú, je v legislatíve označená ako dotknutá osoba. Ten, kto údaje dotknutých osôb spracováva, napr. zamestnávateľ či podnikateľ, vystupuje v pozícii prevádzkovateľa. Každý, kto spracúva údaje dotknutých osôb v mene prevádzkovateľa, je sprostredkovateľom. Všeobecne platí, že je len málo firiem, na ktoré sa GDPR nevzťahuje. GDPR sa týka aj vás ak:
- spracúvate údaje o vlastných zamestnancoch alebo klientoch,
- zálohujete údaje v cloude pre seba alebo svojich zákazníkov,
- rozosielate reklamné e-maily a robíte priamy marketing,
- používate sociálne siete,
- prevádzkujete prístupový, dochádzkový alebo kamerový systém, spracúvate biometrické údaje,
- prevádzkujete webovú stránku s registráciou užívateľov alebo e-shop,
- sledujete správanie svojich klientov na svojich webových stránkach, profilujete,
- sledujete IP adresy zariadení alebo polohu na mape prostredníctvom GPS,
- ste verejná alebo štátna inštitúcia, kraj, mesto, obec a pod.
Čo nová legislatíva prináša?
Nová legislatíva zásadným spôsobom mení celú problematiku ochrany osobných údajov. Zmeny medzi starou a novou právnou úpravou možno zhrnúť do niekoľkých bodov:
- Okruh osobných údajov sa rozširuje o nové typy údajov (e-mailová adresa, IP adresa, cookies, …). Bližšie sa vymedzujú osobitné kategórie osobných údajov (genetické údaje, biometrické údaje, …).
- Sprísňujú sa náležitosti súhlasu so spracovaním osobných údajov dotknutých osôb, ktorý musí byť konkrétny, slobodný, informovaný a jednoznačný. Prednastavené začiarknutie políčka na udelenie súhlasu, resp. viazanie súhlasu napr. na uzavretie zmluvy alebo akceptovanie obchodných podmienok už nebude možné. Okrem toho, prevádzkovateľ bude musieť byť vždy schopný preukázať, že súhlas bol skutočne udelený.
- Zavádza sa princíp minimalizácie údajov, ktorý vyžaduje, aby sa údaje dotknutých osôb nedržali dlhšie, než je nevyhnutne nutné. Zároveň sa nesmie meniť spôsob využitia dát s ohľadom na účel, pre ktorý boli pôvodne zhromaždené. Pokiaľ by organizácia takú zmenu chcela urobiť, musí si pred týmto úkonom vyžiadať od dotknutej osoby nový súhlas.
- Ruší sa povinnosť vypracovať bezpečnostný projekt, viesť evidenciu informačného systému alebo oznamovať informačné systémy Úradu na ochranu osobných údajov. Namiesto toho sa zavádza povinnosť viesť záznamy o spracovateľských činnostiach (najmä u zamestnávateľov zamestnávajúcich aspoň 250 zamestnancov) a povinnosť posúdiť vplyv na ochranu osobných údajov (bezpečnostná analýza). Ak sa preukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré sa nedá zmierniť primeranými opatreniami, prevádzkovateľ by mal pred spracúvaním uskutočniť konzultáciu s Úradom na ochranu osobných údajov.
- V závislosti od rizikovosti spracúvania osobných údajov dotknutých osôb je nevyhnutné, aby prevádzkovateľ a sprostredkovateľ zdokumentovali prijaté bezpečnostné opatrenia v tzv. bezpečnostnej dokumentácii informačného systému ochrany osobných údajov. Konkrétny rozsah a podrobnosti dokumentácie bezpečnostných opatrení má upraviť vyhláška Úradu na ochranu osobných údajov, ktorá k dnešnému dňu (10.05.2018) ešte nie je k dispozícii.
- Zavádza sa právo dotknutých osôb požadovať transfer osobných údajov a prevádzkovateľ to musí zabezpečiť bez odkladu, zadarmo, bezpečne a ešte aj v čitateľnej a štruktúrovanej podobe (napr. cez rozhranie API alebo úložisko údajov). Prevádzkovateľ musí jednotlivca o tejto skutočnosti informovať. Typickým prípadom, keď môže jednotlivec požiadať o prenos údajov, je uzatvorenie účtu.
- V súvislosti s ponukou služieb informačnej spoločnosti (využívanie sociálnych sietí, registrácia na rôznych webových stránkach atď.) GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak k tomu udelil súhlas jej zákonný zástupca.
- Firmy, ktoré pravidelne, systematicky a vo veľkom rozsahu monitorujú správanie svojich zákazníkov alebo spracúvajú vo veľkom rozsahu osobitné kategórie osobných údajov (napr. o zdravotnom stave), budú potrebovať tzv. zodpovednú osobu (najmä nemocnice, telekomunikační operátori a retailové reťazce).
- GDPR dotknutej osobe v určitých prípadoch priznáva tzv. právo „na zabudnutie“, teda na vymazanie osobných údajov. Ide napríklad o situáciu, keď zanikol pôvodný účel spracúvania osobných údajov alebo spracúvanie údajov bolo nezákonné. Právo „na zabudnutie“ vzniká aj vtedy, ak je výmaz osobných údajov potrebný pre splnenie zákonnej povinnosti. Tieto údaje musia byť vymazané nielen u prevádzkovateľa, ale aj u ďalších subjektov, ktoré tieto údaje spracúvajú.
- Upravuje sa forma a náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, a to tak, že do zmluvy pribudne minimálne 9 nových povinností, resp. vyhlásení sprostredkovateľa.
- Zavádza sa povinnosť nahlasovať bezpečnostné incidenty (strata či krádež údajov) Úradu na ochranu osobných údajov do 72 hodín od zistenia incidentu.
- Zavádzajú sa prísnejšie pokuty za porušenie povinností spojených so spracúvaním a ochranou osobných údajov dotknutých osôb, a to až do výšky 20 000 000 EUR alebo do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok.
Ako sa na novú legislatívu pripraviť?
Univerzálny postup pre implementáciu zmien podľa GDPR neexistuje. V prvom kroku sa snažte odpovedať na otázku, kto sú vo vašom prípade dotknuté osoby, ktorých osobné údaje spracúvate, o aké údaje ide, kde ich uchovávate, kto má k nim prístup, kto ako ich spracúva elektronicky alebo papierovo, akými technickými prostriedkami sú spracúvané atď. Potrebná je dôkladná analýza používaných dokumentov (formulárov, zmlúv, obchodných podmienok, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov (napr. konfigurácia kamerového systému, objednávkového procesu v e-shope alebo registrácie na fóre). Keďže samoštúdium a pochopenie niektorých ustanovení GDPR môže byť pre mnohých pomerne náročné, odporúča sa dôsledná konzultácia s odborníkom, ktorý pre podnikateľa spracuje komplexný audit ochrany osobných údajov a navrhne potrebné opatrenia a zmeny v postupoch či dokumentoch.
Niekoľko tipov pre používateľov OBERON-u
- Prístup do počítača (do systému Windows) je potrebné mať chránený heslom. Firemné údaje, ktoré sa uchovávajú v počítačoch (notebookoch) zamestnancov, by mali byť zašifrované a zároveň chránené heslom.
- Prístup do OBERON-u je potrebné chrániť heslom. Zároveň sa odporúča obmedziť práva používateľov pri tých evidenciách, ktoré nepoužívajú. Ako porušenie zákona možno chápať používanie jedného prihlasovacieho mena viacerými osobami, napr. Pokladník 1.
- Používateľom v sieťových prevádzkach využívajúcim databázové prostredie Microsoft Access odporúčame migráciu na SQL server. Dôvodom je skutočnosť, že databázu Microsoft Access (t. j. databázový súbor s príponou .mdb) je možné skopírovať ktorýmkoľvek používateľom v sieti, čím je znemožnené osobné údaje ochrániť.
- Ak ste podľa zákona č. 122/2013 nemali vypracovaný bezpečnostný projekt, je potrebné vypracovať tzv. bezpečnostnú dokumentáciu (smernicu). Konkrétny rozsah a podrobnosti dokumentácie (smernice) má upraviť vyhláška Úradu na ochranu osobných údajov, ktorá k dnešnému dňu (10.05.2018) ešte nie je k dispozícii.
- Ak si účtovná jednotka dáva spracovávať účtovnú alebo mzdovú agendu externe, musí mať uzavretú písomnú zmluvu o ochrane osobných údajov medzi prevádzkovateľom a sprostredkovateľom.
Všetky potrebné zmeny súvisiace s nariadením GDPR budú implementované do systému OBERON. Ďalšie informácie o novej legislatíve je možné získať priamo na webovej stránke Úradu na ochranu osobných údajov.