Ochrana osobných údajov - služby pre prevádzkovateľov informačných systémov

Vítam Vás na stránkach s ponukou služieb v oblasti ochrany osobných údajov.


NOVINKA - Nariadenie GDPR a zmeny v spracúvaní osobných údajov

30. januára 2018 vyšiel v Zbierke zákonov nový zákon č. 18/2018 o ochrane osobných údajov, ktorý preberá Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 (tiež General Data Protection Regulation, v skratke GDPR). Zákon bude účinný dňom 25.5.2018.

Spracúvanie osobných údajov sa riadi popri samotnom Nariadení GDPR aj výkladovými stanoviskami pracovnej skupiny Európskej komisie WP29 (oficiálne Article 29 Data Protection Working Party). Táto pracovná skupina vydala dosiaľ (november 2017) 18 výkladových stanovísk k aplikácii Nariadenia GDPR a 6 historických stanovísk k Smernici 95/46/EC o ochrane osobných údajov.

Nasadenie Nariadenia GDPR do reálnej praxe si vyžaduje
- analýzu nových povinností vo vzťahu ku konkrétnym procesom a činnostiam spracúvania osobných údajov,
- súčasnú aplikáciu viacerých ustanovení, ktoré sa dotýkajú tej istej činnosti alebo toho istého prostriedku spracúvania osobných údajov.


Čo
predovšetkým očakávať od Nariadenia GDPR:
- silné presadzovanie práva dotknutej osoby na informovanosť o spracúvaní osobných údajov,
- nové právo doktnutej osoby na výmaz osobných údajov,

- nové práva doktnutej osoby na prístup k osobným údajom a na prenositeľnosť osobných údajov.

Spojenie práva na
výmaz a práva na informovanosť v konečnom dôsledku znamená povinnosť zaviesť do informačných systémov riadené vymazávanie podľa retenčných lehôt  jednotlivých údajov.
Táto povinnosť vychádza z povinnosti vymazať na žiadosť dotknutej osoby tie osobné údaje, ktorých spracúvanie nie je zákonnou povinnosťou prevádzkovateľa a ktoré prevádzkovateľ nepotrebuje na preukazovanie svojich právnych nárokov. Ustanovenie čl. 3.4 Stanoviska WP 239 pracovnej skupiny WP29 zo dňa 8.6.2016 určuje, že rozličné sady údajov, spracúvaných v jednom procese môžu mať rozličné retenčné lehoty, niekedy teda nestačí jedna spoločná registratúrna lehota. K tomuto sa pridáva povinnosť prevádzkovateľa informovať dotknutú osobu o retenčných lehotách v informácii, ktorú musí povinne poskytnúť (priamo alebo napríklad zverejnením) dotknutej osobe.

Spojenie práva na prístup a práva na prenositeľnosť znamená povinnosť zaviesť do informačných systémov exporty dát v štandardných formátoch  (zrejme predovšetkým xml).
Aj keď podpora prenositeľnosti od jedného prevádzkovateľa k druhému (napríklad pri zmene telekomunikačného operátora alebo poisťovne) nie je reálna skôr, než budú zverejnené záväzné štandardy dátových štruktúr, export dát je aj tak aktuálny vo väzbe na právo prístupu dotknutej osoby k jej údajom v elektronickej forme.


Čo určite neočakávať od Nariadenia GDPR, napriek šíreným poplašným správam:
- sprísnenie požiadaviek na bezpečnostné opatrenia (doterajšia úprava v zákone 122/2013 a vo vykonávacej vyhláške 164/2013 presne kopírovala požiadavky štandardov riadenia bezpečnosti informačných systémov); nevyžaduje sa napríklad často uvádzané šifrovanie ukladaných dát,
- sprísnenie požiadaviek na získavanie súhlasu dotknutej osoby so spracúvaním osobných údajov,
- povinnosť individuálne informovať každú dotknutú osobu (v prípade, že prevádzkovateľ nezískal osobné údaje od dotknutej osoby, môže použiť alternatívne postupy, napríklad zverejnenie informácie o spracúvaní osobných údajov),
- podstatnú zmenu pravidiel na evidenciu a prácu s osobnými údajmi zamestnancov a externých spolupracovníkov (menia sa iba niektoré formálne náležitosti outsourcingových zmlúv)...
- a ďalšie nesprávne interpretované povinnosti, ktoré treba preveriť, keď sa s nimi stretnete.



Prehľad najčastejších otázok a odpovedí nájdete na záložke
FAQ.


Doterajšia (platná) úprava:
Od 1. júla 2013 do 24. mája 2018 je záväzný Zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení zákona č. 84/2014 Z. z. a vykonávacie vyhlášky k tomuto zákonu (vyhláška č. 164/2013 Z. z. a vyhláška č. 165/2013 Z. z.)



Ing. Ľubomír Janoška