Aké zmeny prináša nové európske nariadenie o ochrane osobných údajov (GDPR) a na čo sa musia podnikatelia pripraviť.
Čo je to GDPR?
GDPR (General Data Protection Regulation) je európske nariadenie zavádzajúce jednotné pravidlá v oblasti ochrany osobných údajov, ktoré od 25.5.2018 začnú platiť vo všetkých členských štátoch EÚ. Keďže k spracúvaniu osobných údajov dochádza v najrôznejších životných situáciách (monitoring kamerovým systémom, vedenie mzdovej a personálnej agendy, spracúvanie objednávok či reklamácií zákazníkov, vedenie evidencie o pacientoch, poskytovanie reklamných a marketingových služieb atď.), takmer každý podnikateľ by mal uvedenému nariadeniu venovať patričnú pozornosť. Zároveň si toto nariadenie netreba mýliť s novelou zákona o ochrane osobných údajov, ktorá je v legislatívnom procese. Tá by mala riešiť najmä oblasti, ktorým sa GDPR nevenuje a jej navrhovaná účinnosť je od 1.1.2018.
GDPR - hlavné zmeny, ktoré od 25.5.2018 prináša európske nariadenie č. 2016/679
I keď je nariadenie č. 2016/679 (GDPR) pomerne rozsiahle, medzi hlavné zmeny, ktoré podnikateľov ovplyvnia najviac, môžeme zaradiť predovšetkým nasledujúce novinky:
- Okruh osobných údajov sa podľa GDPR rozšíri o údaje technického charakteru
Tradičný okruh osobných údajov, medzi ktoré zaraďujeme napr. meno, priezvisko a adresu zákazníka, v určitých prípadoch tiež email či telefónne číslo, bude od 25.5.2018 rozšírený o ďalšie údaje technického charakteru, akými sú IP adresa alebo súbory cookies.
- Podľa GDPR sa sprísnia pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov
Zatiaľ čo niektoré osobné údaje sa spracúvajú na základe zákona alebo v rámci plnenia zmluvných povinností, iné údaje podnikatelia získavajú na základe súhlasu dotknutej osoby. Takýto súhlas musí byť podľa GDPR konkrétny, slobodný, informovaný a jednoznačný (t.j. nemôže byť súčasťou obchodných podmienok), pričom podnikateľ musí byť schopný kedykoľvek preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený, napr. s využitím tzv. double-opt-in metódy. Táto skutočnosť bude mať významný vplyv napríklad na spracúvanie osobných údajov na účely marketingu alebo na používanie súborov cookies, ktoré sa od 25.5.2018 bude musieť zmeniť. Zároveň platí, že odvolanie súhlasu so spracovaním osobných údajov by malo byť rovnako jednoduché ako jeho získanie.
- Podľa GDPR budú sprísnené podmienky pre spracúvanie osobných údajov osôb mladších ako 16 rokov
V súvislosti s ponukou služieb informačnej spoločnosti (využívanie sociálnych sietí, registrácia na rôznych webových stránkach atď.) GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak k tomu udelil súhlas jej zákonný zástupca. Keďže overenie veku návštevníka webovej stránky je prakticky nemožné, text pri zaškrtávacom políčku pre udelenie súhlasu so spracovaním osobných údajov by mal v záujme prevádzkovateľa webovej stránky obsahovať aspoň doplňujúcu vetu typu: „Prehlasujem, že ak mám menej ako 16 rokov, tak som požiadal svojho zákonného zástupcu (rodiča) o súhlas so spracovaním mojich osobných údajov.“ Iné riešenie pre overenie získania rodičovského súhlasu so spracúvanímosobných údajov je len ťažko predstaviteľne. Mnohí prevádzkovatelia budú zároveň dopĺňať svoje obchodné podmienky o oznámenie typu: „Naše služby nie sú určené pre osoby mladšie než16 rokov", čím sa povinnosti overovania rodičovského súdhlasu úplne vyhnú.
- GDPR zavádza povinnosť ustanoviť tzv. zodpovednú osobu (DPO, Data Protection Officer)
Podnikatelia, ktorí systematicky, pravidelne a vo veľkom rozsahu monitorujú dotknuté osoby (napr. pri retargetingu a rôznych formách behaviorálnej reklamy), musia podľa GDPR ustanoviť zodpovednú osobu, ktorá bude mať na starosti kontrolu postupov pri spracúvaní osobných údajov, poskytovanie informácií či spoluprácu s Úradom na ochranu osobných údajov. Zodpovednou osobou môže byť externý dodávateľ služieb ako i vlastný zamestnanec, avšak iba za splnenia prísnych (najmä kvalifikačných) podmienok.
- Podľa GDPR bude zavedená povinnosť viesť záznamy o spracúvaní osobných údajov
Každý podnikateľ, ktorý zamestnáva minimálne 250 zamestnancov, prípadne podnikateľ s menej než 250 zamestnancami, ktorý spracúva osobné údaje pravidelne (napr. eshop) alebo spracúva osobné údaje zvláštnej kategórie, musí podľa GDPR viesť záznamy o spracúvaní osobných údajov, napríklad formou prevádzkového denníku, do ktorého budú zapisované všetky dôležité informácie (napr. o prijatých technických opatreniach, o rozsahu a účelu spracúvania osobných údajov alebo ich prenosoch do tretích krajín).
- GDPR zavedie povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov ako i dotknutým osobám
Podnikatelia (v postavení prevádzkovateľov aj sprostredkovateľov) budú po novom povinní nahlásiť Úradu na ochranu osobných údajov každé podstatnejšie narušenie či únik osobných údajov, a to najneskôr do 72 hodín od zistenia takéhoto bezpečnostného incidentu. Ak by takýto únik či narušenie predstavovali vážne riziko pre práva dotknutých osôb, podnikateľ bude povinný kontaktovať aj samotné dotknuté osoby, ktorých údaje môžu byť ohrozené.
- Podľa GDPR budú niektorí podnikatelia povinní vykonať analýzu vplyvov na ochranu osobných údajov (DPIA, Data Protection Impact Assessment) a konzultovať svoju činnosť s Úradom na ochranu osobných údajov
V prípadoch, kedy určitý druh spracúvania osobných údajov môže predstavovať vysoké riziko pre práva a slobody fyzických osôb, podnikatelia budú povinní vykonať analýzu vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Najčastejšie tak pôjde o prípady systematického monitorovania verejne prístupných priestorov alebo rozsiahle spracúvanie osobitných kategórií údajov, napr. údajov o rasovom alebo etnickom pôvode, politických názoroch či zdravotnom stave. Ak podnikateľ na základe spomínanej analýzy zistí, že jeho činnosť by mohla byť vyhodnotená ako riziková, podľa GDPR bude musieť požiadať Úrad na ochranu osobných údajov o konzultáciu.
- Dotknuté osoby budú mať podľa GDPR právo byť vymazané alebo úplne zabudnuté
Tak ako dnes, aj po 25.5.2018 bude platiť, že ak fyzická osoba požiada o výmaz svojich osobných údajov (napríklad životopisu zaslaného spoločnosti, ktorá uchádzača o zamestnanie neprijala), podnikateľ bude povinný takejto žiadosti vyhovieť. Podľa GDPR bude mať každý za určitých podmienok navyše právo požadovať, aby jeho osobné údaje boli úplne vymazané z internetových vyhľadávačov ako Google, Yahoo, Bing, Seznam či Zoznam (právo byť zabudnutý).
- Dotknuté osoby budú mať podľa GDPR právo na prenos svojich osobných údajov
Každá fyzická osoba bude mať po novom právo na bezplatné získanie svojich osobných údajov, ktoré sama poskytla prevádzkovateľovi, a tieto údaje následne odovzdať inému prevádzkovateľovi (napr. pri zmene poskytovateľa určitej služby, či už internetovej alebo inej). Pôvodný prevádzkovateľ tak bude povinný požadované osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. XML alebo CSV) vydať a umožniť ich prenos za účelom ďalšieho použitia. Tomuto právu by mali venovať pozornosť najmä prevádzkovatelia webových stránok, ktorí by na svoje stránky mali včas implementovať príslušnú funkciu.
- Pokuty podľa GDPR budú omnoho prísnejšie
Zatiaľ čo pokuty podľa súčasného zákona o ochrane osobných údajov dosahujú max. 200.000 EUR, GDPR za porušenie povinností pri ochrane osobných údajov stanovuje pokuty až do výšky 20.000.000 EUR, prípadne až do výšky 4 % z celosvetového ročného obratu. Ustanovenie zodpovednej osoby iba „pro forma“, opomenutie rodičovského súhlasu pri spracovaní osobných údajov dieťaťa, odignorovanie žiadosti o výmaz osobných údajov či iné porušenia GDPR tak môžu vyjsť pomerne draho. Dobrou správou je, že mnohé poisťovne dnes ponúkajú špeciálne typy poistenia, ktoré sú určené pre krytie rizík spojených so spracúvaním osobných údajov.
Ako sa na zmeny podľa GDPR - európskeho nariadenia č. 2016/679 pripraviť?
Prvým krokom každého podnikateľa, ktorý spracúva osobné údaje, by mala byť dôkladná analýza používaných dokumentov (formulárov, zmlúv, obchodných podmienok, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov (napr. konfigurácia kamerového systému, objednávkového procesu v eshope alebo registrácie na fóre). Keďže samoštúdium a pochopenie niektorých ustanovení GDPR môže byť pre mnohých pomerne náročné, jednou z možností, ako vyhodnotiť riziká a identifikovať potrebné zmeny, je konzultácia s advokátom alebo s odborníkom na ochranu osobných údajov.
Podnikatelia, ktorí spracúvajú osobné údaje vo veľkom rozsahu, môžu na základe takejto analýzy včas odhaliť potrebu ustanovenia zodpovednej osoby, ktorej výber alebo zaškolenie trvá aj niekoľko mesiacov. Iní podnikatelia, ktorí prevádzkujú eshopy a webové portály, môžu zas prísť na to, že ich podmienky ochrany osobných údajov sú neaktuálne, rozosielanie reklamných ponúk je protiprávne, súhlas so spracovaním osobných údajov (resp. s používaním cookies) alebo formulácia účelu spracúvania osobných údajov je nesprávna atď., pričom implementácia potrebných zmien im zaberie len niekoľko hodín.
V rámci prvotnej analýzy bude preto vždy záležať na tom, aké údaje, v akom rozsahu, akým spôsobom a za akým účelom tieto údaje podnikateľ spracúva. To, čo však majú podnikatelia spoločné, je potreba oboznámiť sa s GDPR s dostatočným predstihom.
Záver
Na základe vyššie uvedeného môžeme skonštatovať, že nariadenie GDPR je často pomerne vágne, pričom mnohé z vyššie uvedených zmien sa vyznačujú rôznymi špecifikami. V záujme lepšieho pochopenia GDPR sa preto jednotlivými novinkami z oblasti ochrany osobných údajov budeme zaoberať v samostatných článkoch, aby ste na Podnikajte.sk našli všetky potrebné informácie, ktoré vám pomôžu vyhnúť sa astronomickým pokutám.
Pozrite si aj diskusiu o GDPR - ako sú firmy pripravené, aké problémy môže priniesť a ďalšie odpovede na otázky v článku GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia.