Firmy čaká revolúcia v ochrane dát

Na Slovensku platí pomerne prísny zákon o ochrane údajov. Ten nahradí európske nariadenie od 25. mája 2018, ktoré čiastočne zmení doterajšiu prax. Jedna zo základných zmien sa týka posilnenia povinnosti pre takzvaných sprostredkovateľov. Teda spoločnosti, ktoré spracúvajú dáta pre iných, napríklad robia mzdy a účtovníctvo. Doteraz boli za ochranu osobných údajov zodpovední najmä prevádzkovatelia, ktorí s nimi narábajú priamo.

Firmy sa obávajú najmä obrích pokút. Sankcia do výšky dvadsať miliónov alebo štyroch percent celosvetového ročného obratu tej-ktorej spoločnosti bude hroziť vtedy, ak nesplnia podmienky súhlasu so spracovaním osobných údajov alebo porušia zásady prenosu dát mimo územia EÚ. Pri porušení ďalších zásad môžu spoločnosti dostať pokutu do desať miliónov eur alebo až do výšky dvoch percent z ročného obratu. A to vtedy, ak napríklad uzavrú zmluvu so sprostredkovateľom, ktorý nepostupuje podľa GDPR, neoznámia únik osobných údajov alebo nemajú zodpovednú osobu pre prípady, v ktorých si to nariadenie vyžaduje.

GDPR netreba podceňovať

Podľa Tomáša Miča, senior právnika pre ochranu údajov zo spoločnosti Eset, z principiálneho hľadiska nariadenie neprináša žiadne extrémne zmeny. „Väčšina pojmov či právnych inštitútov je známa a v zmysle aktuálne platnej legislatívy aj povinne uplatňovaná v praxi. Na rozdiel od niektorých iných členských štátov v tomto prípade benefitujeme z prísnej aktuálnej legislatívy, ktorá už dlhodobo pracuje napríklad aj s takzvanými zodpovednými osobami – Data Protection Officers,“ konštatoval pre TREND. Neodporúča však dosah GDPR na prevádzkovateľov bagatelizovať.

Firmy ako prevádzkovatelia informačných systémov sa ku GDPR dostávajú podľa T. Miča často cez informáciu o astronomických sankciách. „V neposlednom rade však význam novej legislatívy treba vidieť aj v možnosti získať alebo prehĺbiť dôveru zákazníkov,“ poznamenal. Miera znepokojenia firemného sektora je zároveň podľa neho vyvažovaná zlepšením možnosti zákazníka, spotrebiteľa a dotknutej osoby uplatniť si svoje práva, čím dôležitosť GDPR získava ďalší relevantný rozmer.

V súvislosti s GDPR sa firmy nevyhnú auditu všetkých informačných systémov, revízii spracúvaných dát a prehodnoteniu nastavených procesov a zmlúv týkajúcich sa spracúvania osobných údajov. Opätovné preškolenia všetkých zamestnancov o podmienkach spracúvania pod novým právnym rámcom sú podľa T. Miča absolútnou nevyhnutnosťou.

Právo byť zabudnutý

Novým právom dotknutých osôb bude právo byť zabudnutý. Ak bude spracovanie údajov v rozpore s oprávnenými záujmami dotknutého, firma je povinná ich zmazať a spolupracovať pritom aj s ostatnými prevádzkovateľmi.

Osobitný režim pre „zabudnutie“ majú dáta, ktoré boli už zverejnené. Keď prevádzkovateľ dostane od jednotlivca žiadosť o ich výmaz, musí okrem toho, že žiadosť posúdi sám, informovať aj iných prevádzkovateľov, ktorí tieto osobné údaje spracúvajú. Pri rozhodovaní o takejto žiadosti sa bude brať do úvahy dostupná technológia a náklady. Ak by stálo vymazanie neprimerane veľa alebo by bolo nutné použiť komplikované technické prostriedky, firma nemusí žiadosti vyhovieť.

Zákazník bude mať právo preniesť svoje osobné údaje spracované u jedného prevádzkovateľa k inému v jednoduchom formáte. Firmy budú musieť viesť záznamy, ktoré budú obsahovať napríklad opísanie kategórií osôb a spracovaných osobných údajov, zoznam príjemcov, ktorým sú poskytované, ako aj zoznam technických a bezpečnostných opatrení.

Ak dôjde k porušeniu ochrany osobných údajov, budú mať spoločnosti povinnosť najneskôr do 72 hodín oznámiť to dozornému orgánu. Zákazník bude mať právo podať tomuto orgánu sťažnosť, prevádzkovateľa môže tiež žalovať na súde.

Sprísnia sa podmienky udelenia platného súhlasu. Podľa Úradu na ochranu osobných údajov bude treba preukázať, že súhlas so spracovaním údajov je slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle.

Osobitne rieši GDPR súhlas udelený maloletým. Ak má menej ako 16 rokov, je spracovanie osobných dát možné len v prípade, že to schválil rodič alebo zákonný zástupca. Každý má pritom možnosť súhlas odvolať. Odvolanie musí byť rovnako jednoduché ako získane súhlasu.

Byrokracia zostane

Nariadenie GDPR neodstráni podmienku uzatvárať mnohostranové zmluvy pred každým prenosom dát mimo územia EÚ, túto byrokraciu zásadne nemení. Podľa príručky, ktorú pripravil Eset v spolupráci s advokátskou kanceláriou Allen & Overy, stále platí, že pod prenosom osobných údajov treba chápať relatívne širokú škálu situácií. Nielen keď zamestnanec z EÚ zašle PDF dokument obsahujúci osobné údaje kolegovi do Ázie, ale aj ak niekto z USA dostane prístup, napríklad prostredníctvom hesla, k údajom zamestnancov alebo klientov z Európskej únie.

Stále platí, že osobné údaje môžu byť prenesené aj k príjemcom do tretích krajín. Podmienky prenosu sa odlišujú podľa toho, či cieľová krajina, do ktorej budú osobné údaje prenesené, zaručuje alebo nezaručuje primeranú úroveň ochrany.

Nová právna úprava zakotvila povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov. Pôjde o systematický opis plánovaných spracovateľských operácií a účely. Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť záznamy. GDPR obsahuje výnimku pre malé a stredné podniky s menej ako 250 zamestnancami. Nebudú povinné viesť záznamy k tým spracovateľským operáciám za určitých podmienok. Napríklad ak je spracúvanie príležitostné či nepovedie k riziku pre práva a slobody dotknutej osoby.