Prichádza revolúcia v ochrane osobných údajov: Pozrite si 7 základných zmien

„Mnoho spoločností žije v naivite, že aj keď majú len pár zamestnancov, tak sa ich to netýka, čo nie je pravda. GDPR sa skutočne týka všetkých spoločností, ktoré majú nejakých zamestnancov alebo ako SZČO pracujú pre iné firmy, ktoré im posielajú a zdieľajú údaje svojich klientov. Z môjho pohľadu sa GDPR týka každého, len v inom rozsahu,“ hovorí Eva Škorničková, konzultantka právnej ochrany osobných údajov.

Čo to vlastne je

Obecné nariadenie o ochrane osobných údajov (z angličtiny General Data Protection Regulation – GDPR) zásadným spôsobom mení celú problematiku. Keďže ide o nariadenie, je automaticky platné vo všetkých krajinách Európskej únie a nie je potrebná úprava legislatívy jednotlivých štátov.

Schválené a platné je od apríla minulého roka, účinnosť a teda aj vymáhateľnosť nadobudne od 25. mája 2018. Firmy tak majú približne rok na to, aby sa novej legislatíve prispôsobili. Zároveň platí extrateritoriálne – nevzťahuje sa tak len na spoločnosti so sídlom v EÚ, ale všetkých, ktorí svoje služby v Únii poskytujú.

Zároveň sa zvýši spolupráca jednotlivých orgánov, ktoré majú ochranu osobných údajov na starosti. Ak napríklad slovenský Úrad na ochranu osobných údajov dostane podnet od fyzickej osoby, že sú porušované jej práva zo strany Facebooku, bude sa musieť obrátiť na úrad, kde má spoločnosť sídlo (v prípade FB Írsko) a sťažnosť riešiť spoločne.

Pre Slovensko je to revolúcia

O aké veľké zmeny ide? „V oblasti ochrany dát pre niektoré krajiny môže byť revolúciou, pre niektoré krajiny evolúciou. V prípade Slovenska skôr revolúciou, a to z jediného dôvodu, súčasná legislatíva nie je stopercentne dodržiavaná tak, ako by mala byť,“ hovorí E. Škorničková.

Medzi najčastejšie problémy, s ktorými sa na základe jej skúseností firmy pri zavádzaní GDPR stretávajú, je hlavne ich nevedomosť, kde všade osobné údaje majú. Ako príklad uvádza životopisy potenciálnych zamestnancov, ktoré do spoločností chodia e-mailom. Nemusia však nutne skončiť v schránkach personálneho oddelenia, ale napríklad aj na obchodnom, ak si záujemca hľadá prácu práve tam.

„Každé oddelenie si musí urobiť vlastnú dátovú inventúru a zistiť, kde tieto údaje majú a prečo ich majú, teda aký majú právny titul k tomu, aby ich mohli zbierať a spracovávať. To si vyžaduje súčinnosť viacerých oddelení v rámci spoločnosti,“ hovorí E. Škorničková.

Jedným z cieľov je totiž vyčistenie firiem od zbytočných dát, ktoré ležia na rôznych úložiskách bez toho, aby o nich spoločnosti vedeli, a to pokojne aj desiatky rokov. „Sú nevyužité, ale môžu v sebe niesť citlivé informácie, ktoré môžu byť zneužité,“ dodáva E. Škorničková.

1. Nárast administratívnej záťaže

„Nariadenie GDPR prináša celý rad nových pravidiel. Ich platnosť a dodržiavanie bude musieť spracovateľ osobných údajov byť schopný doložiť po celý čas ich spracovania. Pribudne mu tým veľká administratívna záťaž, bude musieť napríklad dokumentovať, že spracováva iba tie dáta, ktoré sú na konkrétny účel nevyhnutné.“

2. Zmena pojatia súhlasu o spracovaní

„Rovnako ako doteraz musí byť súhlas slobodný, určitý, informovaný a jednoznačný. Po novom však bude musieť byť žiadosť o súhlas formulovaná tak, aby jej bolo jasne porozumené. Súhlas so spracovaním osobných údajov bude musieť byť v prípade uzatvárania zmluvy oddelený tak, aby bolo jasné, že nie je bezpodmienečne nutný k uzatvoreniu danej zmluvy.“

Na rozdiel od súčasnej praxe tak súhlasy k spracovaniu osobných údajov nebudú môcť byť zapadnuté v niekoľkostranových dokumentoch a napísané trojmilimetrovým písmom. Užívateľ bude musieť zároveň vedieť, na aký účel spracovania svoje údaje poskytuje.

3. Opt-in namiesto opt-out

Ďalšou novinkou v službách je možnosť opt-in. To znamená, že predtým, než je vôbec služba sprevádzkovaná, musíte mať právo rozhodnúť sa, či súhlasíte alebo nesúhlasíte so spracovaním osobných údajov. Teraz je to spracované tak, že sa to automaticky spustí a keď sa vám to nepáči, môžete to vypnúť, je to teda opt-out.“

4. Rozšírenie pojmu osobný údaj

„S GDPR dochádza tiež k rozšíreniu pojmu „osobný údaj“, kam spadajú aj technické údaje typu e-mailová adresa, IP adresa, súbory cookie. Po novom je zavedená klasifikácia takzvaných genetických a biometrických údajov, ktorých spracovanie si vyžaduje prísnejší režim.“

5. Právo byť zabudnutý

„Úplne novým elementom je „právo byť zabudnutý“, vďaka ktorému môže osoba požadovať, aby boli bez zbytočného odkladu vymazané jej osobné údaje, pokiaľ neexistuje právny dôvod pre ich ďalšie spracovanie (napríklad zamestnávateľ musí zo zákona niekoľko rokov evidovať určitý druh údajov o zamestnancoch). Značná pozornosť je tiež venovaná právu na prenosnosť údajov.“

6. Oznamovacia povinnosť

„Najväčším strašiakom sa pre mnohých stane oznamovacia povinnosť v prípade porušenia zabezpečenia. Malo by sa tak stať minulosťou, že sa o kauzách masívnych únikov osobných dát dozvedáme s odstupom niekoľkých rokov, ako sa to nedávno stalo v prípade spoločnosti Yahoo. Po novom bude musieť spracovateľ ohlásiť ohrozenie zabezpečenia osobných dát najneskôr do 72 hodín od okamžiku, keď sa o incidente dozvedel. V niektorých prípadoch bude musieť informovať aj osoby alebo subjekty, ktorých sa únik týkal.“

7. Pokuta až do 20 miliónov

Podľa aktuálneho zákona o ochrane osobných údajov na Slovensku hrozí za jeho porušenie pokuta do výšky 200-tisíc eur. Táto suma sa podľa GDPR navýši na 20 miliónov eur alebo do štyroch percent z obratu spoločnosti, čo je v niektorých prípadoch veľkých korporácií na ešte vyššej úrovni.