Čo sa bude meniť?

Chcem vedieť viac...
sipka_dole

Hlavné zmeny, ktoré so sebou GDPR prináša:

arrow_down

Nové práva dotknutej osoby


  • právo na opravu - dotknutá osoba môže od prevádzkovateľa požadovať opravu nesprávnych osobných údajov, ako aj ich doplnenie prostredníctvom doplnkového vyhlásenia
  • právo na prístup k údajom – dotknutá osoba je oprávnená od prevádzkovateľa požadovať informáciu, či o nej spracúva osobné údaje, a ak tomu tak je, má právo na prístup k nim a poskytnutie doplnkových informácii o spracúvaní
  • právo na „zabudnutie“ (právo na vymazanie) – dotknutá osoba je oprávnená požadovať vymazanie osobných údajov z informačných systémov prevádzkovateľa, v prípade že:
    • Osobné údaje už nie sú potrebné na účely, na ktoré boli získané
    • Dotknutá osoba odvolá svoj súhlas so spracúvaním osobných údajov
    • Dotknutá osoba namieta spracúvanie
    • Osobné údaje boli spracúvané nezákonne
    • Osobné údaje musia byť podľa zákonnej povinnosti vymazané
    V prípade, že prevádzkovateľ takéto osobné údaje zverejnil, uskutoční potrebné opatrenia na to, aby informoval ostatných prevádzkovateľov o požadovanom výmaze
  • právo na obmedzenie spracúvania – dotknutá osoba má právo požadovať, aby prevádzkovateľ obmedzil spracúvanie v prípadoch uvedených v čl.18 Nariadenia
  • právo na prenosnosť údajov – dotknutá osoba má právo získať od prevádzkovateľa osobné údaje, ktoré mu poskytla, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo tieto údaje preniesť ďalšiemu prevádzkovateľovi. Význam prenosu údajov spočíva v interoperabilite medzi systémami a zabezpečením práva dotknutej osoby na výber poskytovateľa služieb. Právo na prenosnosť údajov však môže dotknutá osoba uplatniť len v prípade, ak sa spracúvanie zakladá na jej súhlase alebo je vykonávané automatizovanými prostriedkami
  • právo namietať – dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov
  • právo namietať proti priamemu marketingu – ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov na takéto účely

arrow_down

Nové pojmy


  • profilovanie - predstavuje formu automatizovaného spracúvania osobných údajov, v rámci ktorého dochádza k vyhodnoteniu určitých osobných aspektov (napr. výkonnosť v práci, majetkové pomery, zdravie, poloha, pohyb a iné).
  • pseudonymizácia – je spracúvanie osobných údajov takým spôsobom, aby tieto už nebolo možné priradiť ku konkrétnej osobe bez použitia ďalších dodatočných informácií. Typickým príkladom je šifrovanie, kedy opätovné získanie osobných údajov je možné len prostredníctvom šifrovacieho kľúča. Pseudonymizácia zníži bezpečnostné riziká pre dotknuté osoby.
  • genetické údaje– sú osobné údaje vzťahujúce sa na zdedené alebo nadobudnuté genetické znaky fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo o zdraví tejto fyzickej osoby

arrow_down

Osobitná ochrana osobných údajov detí mladších ako 16 rokov


Ak ponúkate služby informačnej spoločnosti priamo dieťaťu, súhlas so spracúvaním osobných údajov vám môže udeliť len dieťa, ktoré má viac ako 16 rokov. V prípade dieťaťa mladšieho ako 16 rokov je potrebné získať súhlas so spracúvaním osobných údajov od zákonného zástupcu. Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov, pričom zohľadní dostupnú technológiu.


arrow_down

Oznamovacia povinnosť pri porušení ochrany osobných údajov


  • oznamovacia povinnosť voči dozornému orgánu - v prípade bezpečnostného incidentu je prevádzkovateľ povinný takúto skutočnosť oznámiť dozornému orgánu bez zbytočného odkladu, najneskôr do 72 hodín. Túto povinnosť prevádzkovateľ nemá len v prípade, ak je zrejmé, že takéto porušenie ochrany nepredstavuje riziko pre práva a slobody fyzických osôb
  • oznamovacia povinnosť voči dotknutej osobe – v prípade, že porušenie ochrany osobných údajov predstavuje vysoké riziko pre práva a slobody fyzických osôb, je prevádzkovateľ povinný bez zbytočného odkladu informovať dotknutú osobu
  • Porušením ochrany osobných údajov sa rozumie napríklad náhodné alebo nezákonné zničenie, zmena, strata, neoprávnené poskytnutie osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k takýmto údajom

arrow_down

Povinnosť ustanoviť zodpovednú osobu


Podľa doteraz platného zákona o ochrane osobných údajov prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, mohol fakultatívne ustanoviť zodpovednú osobu. V GDPR určených prípadoch je už prevádzkovateľ povinný ustanoviť zodpovednú osobu

 

Viac o ustanovení, zodpovednosti a povinnostiach zodpovednej osoby si prečítajte v našom článku .


arrow_down

Rozšírený obsah pojmu osobné údaje


  • Za osobné údaje podľa GDPR možno za istých okolností považovať rôzne online identifikátory, ktoré poskytujú prístroje a aplikácie dotknutých osôb. Napríklad IP adresa, cookies, lokalizačné údaje, e-mailové adresy a iné.
  •  Viac o tom, čo všetko a za akých okolností spadá pod pojem osobné údaje si prečítajte v našom článku.

arrow_down

Zavedenie kódexov správania a certifikácie


  •  Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania, ktoré upresňujú uplatňovanie GDPR, napr. v oblasti práv dotknutých osôb, pseudonymizácie, získavania osobných údajov, ako aj v iných oblastiach.
  •  Účelom certifikácie je zavedenie certifikačných mechanizmov ochrany údajov, pečatí a značiek na účely preukázania súladu s GDPR.

arrow_down

Povinnosť viesť záznamy o spracovateľských činnostiach v listinnej ako aj elektronickej podobe


Záznamy o spracovateľských činnostiach nahrádzajú doterajšie evidenčné listy o informačnom systéme. Záznamy je potrebné viesť v listinnej alebo elektronickej podobe, pričom ich obsahové náležitosti sú vymedzené v GDPR. Povinnosť viesť takéto záznamy sa nevzťahuje na zamestnávateľa s menej ako 250 zamestnancami, ak takéto spracúvanie nepredstavuje riziko pre práva dotknutých osôb, alebo ak je spracúvanie len príležitostné, prípadne nezahŕňa osobitnú kategóriu osobných údajov. 


arrow_down

Zrušuje sa povinnosť vypracovania bezpečnostného projektu, prevádzkovateľ je však povinný posúdiť vplyv na ochranu osobných údajov


Povinnosť vypracovať bezpečnostný projekt sa od nadobudnutia účinnosti GDPR zrušuje. Prevádzkovateľ je však povinný prijať bezpečnostný právny dokument Posúdenie vplyvu na ochranu osobných údajov (DPIA – Data Protection Impact Assessment. GDPR vymedzuje za akých okolností je prevádzkovateľ povinný vypracovať takýto dokument, ako aj jeho obsahové náležitosti.

Posúdenie vplyvu na ochranu osobných údajov by malo obsahovať najmä nasledovné náležitosti:

  • Opis plánovaných spracovateľských operácií a účelu takéhoto spracúvania
  • Posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
  • Posúdenie rizika pre práva dotknutej osoby
  • Opis prijatých opatrení, ktoré zaistia minimalizáciu týchto rizík, ako aj ďalších bezpečnostných opatrení

 

 

 

 


arrow_down

GDPR bližšie stanovuje obsahové a formálne požiadavky súhlasu so spracovaním osobných údajov


Forma udelenia súhlasu nie je v GDPR výslovne uvedená. Prevádzkovateľ by však mal byť schopný kedykoľvek preukázať jeho udelenie. Udelenie súhlasu písomnou formou je preto najbežnejšie využívané. Súhlas so spracúvaním osobných údajov by mal byť formulovaný tak, aby bol v rámci prípadných ďalších vyhlásení dotknutej osoby, jasne odlíšiteľný. Forma udelenia súhlasu by mala stanovená tak, aby rovnakou alebo obdobnou formou mohol byť súhlas v prípade potreby odvolaný. Mlčanie alebo nečinnosť nemôže byť považovaná za udelenie súhlasu.

 

V rámci súhlasu so spracúvaním osobných údajov by mali byť vymedzené identifikačné údaje prevádzkovateľa, rozsah osobných údajov, na ktorých spracúvanie sa súhlas poskytuje, účel a soba spracúvania. Pred udelením súhlasu by mala byť splnená informačná povinnosť prevádzkovateľa o skutočnostiach vymedzených v GDPR.

 


arrow_down

Rozširujú sa povinnosti a zodpovednosť sprostredkovateľov


GDPR vyžaduje, aby vzťah medzi prevádzkovateľom a sprostredkovateľom bol upravený zmluvou alebo iným právnym úkonom, ktoré vymedzujú predmet, dobu a účel spracúvania, zoznam spracúvaných osobných údajov, kategórie dotknutých osôb, práva a povinnosti prevádzkovateľa a sprostredkovateľa.


arrow_down

Zvyšujú sa sankcie za nedodržanie ustanovení o ochrane osobných údajov a to až do výšky 20 mil. eur alebo 4% z ročných tržieb spoločnosti


Úrad na ochranu osobných údajov SR môže uložiť za porušenie ustanovení zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov pokutu až do výšky 20 mil. eur alebo 4% celkového svetového ročného obratu za predchádzajúci účtovný rok, pričom sa výška pokuty spravuje vyššou sumou.


ČO VÁM PONÚKAME?



Chcete sa dozvedieť viac o pripravovaných zmenách?
KONTAKTUJTE NÁS!
...a my vám odpovieme na všetky vaše otázky.