Nové nariadenie o ochrane osobných údajov z dieľne Európskeho parlamentu nadobudne platnosť už 25. mája 2018. Toto nariadenie sa týka najmä zaobchádzania s osobnými údajmi, ich uchovávaním, alebo aj oznamovaním porušenia ochrany osobných údajov. Vo svojej podstate Európska únia pracuje na zabezpečení väčších práv pre občanov vo sfére práce s dátami. Okrem rozšírenia práv občanov so sebou však prináša aj veľké riziká pre firmy vo forme vysokých pokút.
Na aké zmeny by ste sa mali pripraviť?
Dôvodov, pre ktoré vám môžu udeliť pokutu je pomerne veľa. Preto neodporúčame zanedbať prípravu na zavedenie GDPR do praxe.
V prvom rade si musíme ujasniť, že po novom budú pod pojem “osobný údaj” spadať nie len osobné údaje ako sú meno, priezvisko, fotografia, odtlačok a podobne, ale aj technické údaje typu IP adresa, či súbory cookies. Nové pravidlá sa tak týkajú každého, kto pracuje aspoň s jedným z týchto údajov, alebo cez neho takéto údaje len prechádzajú.
Do platnosti prichádza aj niekoľko nových povinností ako napríklad: povinnosť nominácie zodpovednej osoby, prísnejšie požiadavky na súhlas pri spracovaní osobných údajov alebo povinnosť oznámiť porušenie ochrany osobných údajov jednotlivcom aj regulátorovi do 72 hodín.
Externí sprostredkovatelia dát budú niesť rovnakú zodpovednosť ako prevádzkovatelia, no zároveň budú povinní viesť zoznamy spracovateľských operácií pre každého klienta a prevádzkovateľa zvlášť. Medzi iným je sprostredkovateľ povinný informovať prevádzkovateľa o tom, že porušil ochranu osobných údajov.
Do akej výšky sa môžu jednotlivé pokuty vyšplhať?
Výška pokuty sa môže vyšplhať až do výšky 20 miliónov eur alebo do 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia), no všetko záleží najmä od ustanovení, ktoré boli porušené. Tieto priestupky sú rozdelené podľa vážnosti do dvoch kategórií, ktoré majú rozdielne výšky pokút.
Pokutu v maximálnej výške 10 miliónov eur, alebo 2% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete napríklad za porušenie týchto nariadení:
- súhlas rodiča pri spracovaní osobných údajov dieťaťa,
- implementácia organizačných a technických opatrení ochrany súkromia do návrhu systému,
- spracovatelia a prevádzkovatelia musia implementovať dostatočné opatrenia pre dostatočnú bezpečnosť osobných údajov,
- spracovanie osobných údajov môže prebiehať len v súlade s inštrukciami prevádzkovateľa,
- prevádzkovateľ musí nahlásiť únik osobných údajov kompetentným autoritám do 72 hodín od zistenia úniku.
Pokutu v maximálnej výške 20 miliónov eur, alebo 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete za nedodržanie týchto nariadení:
- spracovanie osobných údajov musí byť v súlade so zákonom,
- prevádzkovateľ musí vedieť preukázať, že užívateľ súhlasil so spracovaním osobných údajov,
- prevádzkovateľ musí vedieť poskytnúť transparentné informácie a dostatočnú komunikáciu pre možnosť uplatnenia práv užívateľov,
- užívateľ musí mať možnosť prehliadať, prípadne vymazať svoje osobné údaje,
- prevádzkovateľ musí užívateľom oznamovať každé schválenie, vymazanie, obmedzenie alebo spracovanie osobných údajov.
Ako sa vyhnúť pokute?
Jediný spôsob ako sa vyhnúť pokute je dôsledná príprava ešte pred zavedením nariadenia do praxe. Veľa problémov vyrieši dôkladné šifrovanie osobných údajov, keďže pri úniku zašifrovaných osobných údajov sa neukladá pokuta a nie ste ani povinný oznámiť tento únik užívateľom. Takýto únik sa netrestá, no stále je dôležité nahlásiť ho kompetentným autoritám.
V prípade, že chcete byť včas pripravený, požiadajte o bezplatnú cenovú ponuku. Ochranu osobných údajov môžeme vziať jednoducho do vlastných rúk.