Firmy dostanú prísnejšie podmienky

Pre zamestnávateľov
Od mája tohto roka sa pre firmy sprísnia podmienky nakladania s osobnými údajmi ľudí. Prinesie to nielen administratívnu záťaž, ale aj vyššie pokuty.

Odpovedá: Jana Černáková, advokátska kancelária Čechová and Partners

1. Rozdiely v úpravách
V ktorých oblastiach uvoľňuje nový zákon našu súčasnú úpravu?
Znižuje formálne povinnosti vo vzťahu k Úradu na ochranu osobných údajov. Dnes je povinné oznamovanie informačných systémov. Je to povinnosť zo zákona, ktorú si až na výnimky musel splniť každý prevádzkovateľ skôr, ako sa začali spracúvať osobné údaje. Podniky museli najskôr vyplniť formulár predpísaný úradom. Až podaním na úrad mohli začať so spracovaním. Pri osobitnej registrácii bolo potrebné čakať na jej potvrdenie. Najmä pri nadnárodných spoločnostiach to bolo v praxi niekedy ťažko realizovateľné, keďže nie vždy poznali miestne pobočky v dostatočnom predstihu rozsah spracúvania osobných údajov a jeho jednotlivé detaily. Zväčša tieto informácie získali až v rámci spustenia projektu. Narážalo to na problém napríklad pri koordinovanom celosvetovom spustení projektu. Pozitívom však bolo, že firmy oznámením či registráciou dostali odobrenie spracúvania úradom. Plnilo to nielen formálnu povinnosť, ale aj akúsi ochrannú funkciu.

2. Zodpovedná osoba
Vnímate ako uvoľnenie aj povinnosť ustanovovať zodpovednú osobu, ktorá bude povinná pre užší okruh subjektov než doteraz?
V zmysle nášho zákona dnes nie je ustanovenie zodpovednej osoby povinné. V tomto ide naopak o sprísnenie. Uvoľnenie však nastáva v oblasti požiadaviek na zodpovednú osobu, ktorá napríklad už nebude musieť povinne absolvovať skúšku na Úrade na ochranu osobných údajov. Je tu aj praktická línia. Zodpovednú osobu je potrebné určiť v každom podniku, či už v rámci plnenia povinností GDPR alebo na základe dobrovoľného rozhodnutia. Každý podnik určitým spôsobom osobné údaje spracúva, a teda sa naň bude zákon o ochrane osôb vzťahovať a bude musieť plniť tam stanovené povinnosti. Ak nebude mať takúto zodpovednú osobu, tak v zásade nebude v podniku nik, kto by vedel zabezpečiť plnenie alebo koordináciu pri plnení týchto povinností.

3. Právomoci zodpovednej osoby
Zákon definuje zodpovednú osobu? Aké má právomoci vo firmách?
Z hľadiska zabezpečenia kvality ochrany osobných údajov je určená požiadavka na poverenie zodpovednej osoby aj úspešné absolvovanie skúšky fyzickej osoby na úrade, a to zo znalosti všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov. Fyzická osoba tak môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky. Pretože zodpovedná osoba svojím postavením a úlohami vplýva a zasahuje do celého procesu spracúvania osobných údajov, cieľom zavedenia takejto funkcie bolo, aby sa u prevádzkovateľa zvýšila a udržiavala vyššia úroveň ochrany osobných údajov, ktorá bude korešpondovať s aktuálnym legislatívnym stavom v tejto oblasti. Postavenie poverenej zodpovednej osoby je posilnené aj právom vstupovať do informačných systémov, aby mohla plniť zákonné úlohy. Prevádzkovateľ je povinný jej takýto prístup umožniť.

4. Sprísnenie a zmeny
V čom zákon naopak sprísňuje aktuálnu právnu úpravu ochrany osobných údajov?
Nariadenie širšie definuje osobné údaje, takže povinnosti sa budú týkať väčšej skupiny údajov. Zároveň ukladá povinnosť ustanoviť zodpovednú osobu v určitých prípadoch spracúvania osobných údajov. Zmeny sú aj v udeľovaní súhlasov so spracúvaním osobných údajov. Hoci zákon neustanovuje presný obsah súhlasu, na rozdiel od súčasného zákona, nepriamo určuje podmienky, za akých sa má a nesmie získavať. Príkladom je klasické opt-in a opt-out, využívané najmä v elektronickej komunikácii. Doteraz boli do určitej miery akceptované aj opt-out súhlasy, teda vopred zaškrtnuté políčka so súhlasom, ktoré však ľudia často prehliadali. Zákon výslovne zakazuje opt-out súhlasy. Dovolené sú už iba opt-in, teda aktívne zaškrtnutie políčka súhlasu dotknutej osoby. Vo všeobecnosti sa podľa neho nečinnosť a neprejavenie vôle už nemôže považovať za súhlas.

5. O čom sa nevie
Po novom musí byť zároveň súhlas udelený na každý účel spracovania údajov osobitne. Znamená to pre firmy, že budú musieť všetky súhlasy získať nanovo?
Tento problém sa údajne ešte stále rieši na európskej úrovni. Domnievame sa však, že ak staré súhlasy spĺňajú podmienky GDPR, nemalo by byť potrebné získavať ich nanovo.

6. Prvé kroky
Ako má firma začať s revíziou?
Prvým krokom by mala byť revízia osobných údajov, ktoré spracúva. Najlepšie je, aby sa stretli zodpovední pracovníci – v praxi HR, IT, manažér obchodnej divízie a podobne, ktorí majú najlepší prehľad o informáciách, ktoré podnik dostáva a spracúva, a teda aj o prípadných osobných údajoch. Potom sa pripraví sumár osobných údajov a ich spracúvania, teda čo vlastne podnik spracúva, za akým účelom a v akom rozsahu. Na základe sumáru zodpovedná osoba vyhodnotí, aké právne základy spracúvania podnik používa, aký druh osobných údajov spracúva, aké sú s tým spojené riziká a ako je potrebné spracúvanie zabezpečiť. Predovšetkým posledná časť, riziká spracúvania a jeho zabezpečenie, by sa mala realizovať v spolupráci s IT oddelením.

7. Odrazový mostík
Prvým krokom by teda mala byť revízia osobných údajov, ktoré firma spracúva?
Táto povinnosť do určitej miery vyplýva aj zo zákona, ktorý ukladá povinnosť určitému typu podnikov viesť záznamy o spracúvaní osobných údajov. Avšak aj ostatné podniky môžu značne profitovať z vedenia záznamov o spracúvaní osobných údajov. Tieto záznamy sú prvotným zdrojom informácií a zároveň odrazovým mostíkom a pomôckou pri efektívnom plnení ostatných povinností.

Odpovedá: Igor Straka, audítor TÜV SÜD Slovakia

8. Únik údajov
Čo musí urobiť firma, keď zistí, že jej unikli údaje?
Ak prevádzkovateľ spracúvajúci osobné údaje príde na porušenie ich ochrany, ktoré môže predstavovať riziko pre dotknuté osoby, musí o tom podľa GDPR informovať Úrad na ochranu osobných údajov do 72 hodín od zistenia úniku. V oznámení musí odhadnúť počet poškodených, opísať povahu úniku, jeho pravdepodobné následky a prijať nápravné opatrenia na zmiernenie dopadov. Za opatrenia sa považuje najmä dostatočné šifrovanie údajov. Ak únik údajov predstavuje podľa posúdenia prevádzkovateľa vysoké riziko pre poškodené osoby, musí prevádzkovateľ informovať aj tieto osoby. Oznámenie by mal naformulovať jednoducho.

9. Vysoké riziko
Aká situácia sa považuje za vysoko rizikovú pri úniku dát?
Za vysoké riziko pre práva dotknutých osôb sa dá považovať únik takých údajov, ktoré môžu hackeri zneužiť na vlastné obohatenie sa, vydieranie, na páchanie inej trestnej činnosti a podobne. Sú nimi napríklad zdravotné záznamy, čísla občianskych preukazov, čísla kreditných kariet, prístupové heslá do rôznych aplikácií a podobne. Ak sa únik údajov týka veľkého množstva ľudí, môže prevádzkovateľ namiesto individuálneho informovania zvoliť informovanie verejnosti.

Odpovedá: Ľubomír Kopáček, odborník na kybernetickú bezpečnosť a spolupracovník TÜV SÜD Slovakia

10. Veľký rozsah
Firmy musia mať zodpovednú osobu, ak spracúvajú údaje vo veľkom rozsahu. Aký je to rozsah?
Pojem „veľký rozsah“ nie je nikde presne kvantifikovaný. Aby firma zistila, či spadá do tejto kategórie, môže si pomôcť vysvetlením pracovnej skupiny pri Európskej komisii WP29, ktorá vydáva k GDPR metodické usmernenia. Za určujúce faktory veľkého rozsahu považuje počet dotknutých osôb, objem údajov alebo rozsah rôznych položiek údajov, dĺžku trvania alebo stálosť činnosti spracúvania a geografický rozsah spracovateľskej činnosti. Pod veľkým rozsahom si nepredstavujme iba veľké množstvo spracúvaných údajov, ale aj napríklad dlhú dobu ich uloženia, veľký rozsah samotných dát a podobne. Posúdenie veľkého rozsahu je naozaj na expertnom odhade a zvážení všetkých okolností.

11. Kvality pracovníka
Aké úlohy a kvality má mať zodpovedná osoba?
Jej kompetencie a úlohy sú veľmi široké. Monitoruje dodržiavanie nových požiadaviek na ochranu osobných údajov a súvisiacich právnych predpisov, poskytuje informácie, poradenstvo a odporúčania vedeniu či spolupracuje s Úradom na ochranu osobných údajov. Tieto pozície majú reguláciou garantované nezávislé postavenie, musia byť prizývané na zasadnutia manažmentu a budú musieť byť pri rozhodnutiach vplývajúcich na ochranu osobných údajov. Firmy by mali zodpovedné osoby vyberať na základe primeraných odborných kvalít. V ideálnom prípade by mali byť títo úradníci dobrými odborníkmi v troch náročných odboroch – v lokálnom aj európskom práve, v kybernetickej bezpečnosti a v procesnom riadení. Takáto kombinácia je však ojedinelá.

Odpovedá: Peter Kremský, výkonný riaditeľ Podnikateľskej aliancie Slovenska

12. Súdne spory
Úrad by mal síce dohliadať na to, aby bolo jasné, za akých podmienok pokutu dali, dohliadať na konkrétne okolnosti prípadu a faktory ovplyvňujúce ju. Nemyslíte si, že sa pre podnikateľov môže zvýšiť možnosť súdnych sporov?
Určite áno, na začiatku bude veľa podnikateľov, ktorí urobia chybu z neznalosti. Jednoducho neporozumejú, čo vlastne nová legislatíva žiada, keďže je pomerne nezrozumiteľná. Aliancia podnikateľov Slovensko preto odporúča odsunutie postihovania porušenia predpisov až do roku 2019, dovtedy iba upozorňovať, ale nedávať pokuty. Toto prechodné obdobie by malým podnikateľom malo pomôcť pochopiť, čo sa od nich vlastne žiada.

13. Malé firmy
Budú mať firmy dosť času, aby sa prispôsobili tvrdším podmienkam nového zákona?
Stále nie je celkom jasné a prehľadné, aký postup bude ešte v súlade so zákonom a aký už nie. Teda nie je jasná metodika, ako má firma postupovať, aby takéto predpisy dodržala. Ustanovenia sú pomerne ťažko zrozumiteľné a v praxi ťažko použiteľné, čo môže mnohým malým podnikateľom sťažiť fungovanie na trhu, znížiť ich konkurencieschopnosť a dotlačiť k obmedzeniu alebo skončeniu podnikania. Z trhu sa tak môžu stratiť inovatívne produkty a služby, ktoré ponúkajú malé firmy a živnostníci, pretože pre veľké firmy nebudú zaujímavé.

Zdroj: Úrad na ochranu osobných údajov

14. Dotknutá osoba
Čo všetko môže vyžadovať človek od firiem v rámci ochrany svojich údajov?
Ak ho uplatní písomne, má právo najmä na prístup k spracúvaným osobným údajom a právo namietať voči spracúvaniu osobných údajov. Ďalej vyžadovať potvrdenie o tom, či sú alebo nie sú osobné údaje o nej spracúvané, informácie o spracúvaní jej osobných údajov v informačnom systéme v rozsahu tzv. informačnej povinnosti, informácie o zdroji, z ktorého prevádzkovateľ získal jej osobné údaje na spracúvanie, zoznam jej osobných údajov, ktoré sú predmetnom spracúvania, likvidáciu osobných údajov, ktorých účel spracúvania skončil a iné. Môže tiež namietať vo vzťahu k poštovému styku a priamemu marketingu spracúvanie jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a zároveň je oprávnená požiadať o ich likvidáciu. Prevádzkovateľ je povinný vybaviť žiadosť dotknutej osoby písomnou formou v zákonom určenej 30 dňovej lehote.

15. Vyššie pokuty
Pokuty sa oproti minulej právnej úprave zvyšujú. Nie sú likvidačné?
V novom zákone je výška pokuty pre podnik stanovená na 20 miliónov eur alebo 4 percentá svetového ročného podniku v predchádzajúcom účtovnom období podľa toho, ktorá suma by bola vyššia. Je to strop pokuty, ktorý však nie je záväzný a nemenný. Úrad na ochranu osobných údajov má povinnosť zohľadniť výšku pokuty podľa všetkých zistených faktorov, ktoré môže ako správny orgán zohľadniť.

Odpovedá: Pavol Szabo, advokát advokátskej kancelárie GHS Legal

16. Rovnaké pravidlá
Ako sa pravidlá GDPR prejavia naprieč EÚ?
Priama aplikovateľnosť GDPR na jednej strane pre členské štáty EÚ znamená, že nebolo potrebné premietnuť celý text nariadenia do nového zákona, na strane druhej to pre dotknuté osoby znamená, že v rámci všetkých štátov EÚ vrátane Nórska, Islandu a Lichtenštajnska budú mať dotknuté osoby rovnaké účinné právne prostriedky na to, aby chránili svoje osobné údaje.

17. IT zabezpečenie
Predstavujú nové pravidlá väčšie nároky na tvorbu IT produktov?
I keď v IT prostredí ide o už dávno známe pojmy, jednou z koncepčných novôt GDPR je, že do ducha vymožiteľnej právnej normy zavádza pojmy „privacy by design“ a „privacy by default“. To znamená, že každá firma alebo aj samostatný programátor pri vypracovaní, navrhovaní, výbere a používaní aplikácií, služieb a produktov, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, musia zohľadniť tie najnovšie poznatky modernej technologickej doby, tak, že budú zodpovedať presne podmienkam firmy (by design) a že sa o ochrane osobných údajov bude uvažovať od počiatku uvažovania o službe alebo produkte (by default).

18. Osoby pod 16 rokov
Osobitná pozornosť pri spracúvaní osobných údajov sa venuje osobám mladším ako 16 rokov. Ako sa to prejaví?
Každý, kto bude mať záujem poskytnúť napríklad odplatné služby cez internet osobe mladšej ako 16 rokov, súhlas na spracúvanie osobných údajov tejto osoby bude musieť poskytnúť alebo schváliť jej zákonný zástupca (rodič). To, či poskytovateľ tejto služby vynaložil primerané úsilie a zohľadnil dostupnú technológiu, aby si overil, že súhlas získal za týchto podmienok, bude musieť preukázať sám poskytovateľ tejto služby na prípadnej kontrole úradu.

19. Bezpečnostné projekty
Ako sa zmení nastavenie ochrany osobných údajov?
Už nebudú postačovať formulárové bezpečnostné projekty stiahnuté z internetu alebo iné jednoduché vzory nastavenia ochrany osobných údajov. Po novom už bude musieť byť každé nastavenie bezpečnosti ochrany osobných údajov „šité na mieru“, a to jednak po technickej stránke ako aj po formálnej stránke. Teda každý si pred každým spracúvaním osobných údajov musí posúdiť aké osobné údaje bude spracúvať, ako a či ich môže spracúvať v súlade s nariadením, kam budú poskytované a podobne a podľa toho pripraviť technické zabezpečenie a formálnu dokumentáciu.

20. Dotknuté osoby
Zmena má posilniť práva dotknutých osôb. Čo to presne znamená?
Bude kladený väčší dôraz na individuálne „páky“ dotknutých osôb na ich ochranu, najmä pri automatizovanom spracúvaní ich osobných údajov, ktorým sa automaticky vyhodnotí určité ich osobné správanie a predvídanie ich správania. Medzi štandardy budú patriť práva dotknutých osôb najmä na získanie informácií, aké údaje a na aký účel niekto o nich údaje spracúva, vrátane toho, odkiaľ ich údaje získal, právo na „zabudnutie“ (výmaz ich údajov) alebo ucelený presun ich údajov, právo na obmedzenie spracúvania ich údajov a podobne.
Zdroj: Veronika Galvánková, Jana Véghová (Hospodárske noviny)   Foto: Shutterstock

"Všetky práva vyhradené. Publikovanie tohto článku je bez predchádzajúceho písomného súhlasu Hospodárskych novín porušením autorského zákona."

Mohlo by vás zaujímať:

Poslať priateľovi
pracujem
pracujem Prebieha vyhľadávanie, prosím, čakajte...
ISTP

Prebieha vyhľadávanie, prosím, čakajte...

Pomocník

Máte otázky?
Vitajte v ISTP

Váš Internetový Sprievodca Trhom Práce

Na základe rozhodnutia o vyradení z evidencie uchádzačov o zamestnanie na úrade PSVR si, prosím, upravte registračné údaje.

Dobrovoľne nezamestnaný

Chcem pracovať

Potvrdenie

Vykonať požadovanú akciu?

Áno Nie