Čo bude znamenať GDPR pre slovenské firmy

Revolúcia v ochrane osobných údajov, ktorú od 25. mája budúceho roka prinesie GDPR, spôsobí rozruch v každej firme. Európske nariadenie General Data Protection Regulation si vyžiada zmeny v procesoch a systémoch u vyše pol milióna subjektov na Slovensku. Tie si na zmeny nachystajú vyše 40 miliónov eur.

GDPR platí pre všetky firmy

GDPR platí pre všetky firmy a organizácie na celom svete, ktoré pracujú s dátami občanov EÚ. Je to v podstate prvý prípad, kedy Európska únia presadzuje princípy ochrany osobných údajov svojich občanov vo zvyšku sveta.

V praxi to znamená, že každá firma či organizácia i mimo EÚ, ktorá pracuje s dátami, ktoré nejakým spôsobom súvisia s občanmi EÚ, musí dodržiavať zásady a požiadavky regulácie GDPR, ktorá má globálnu pôsobnosť. Spracovatelia dát by mali spozornieť. Dáta občanov EÚ získavajú globálnu ochranu.

Bude potrebný súhlas používateľa internetu

Firmy a organizácie budú musieť byť schopné ukázať platný súhlas k použitiu osobných informácií.

Organizácie potrebujú zaistiť, aby voči klientom v žiadosti o súhlas používali jednoduchý a zrozumiteľný jazyk. Aby bolo jasné, ako a na čo vlastne chcú informácie využívať. Klienti naopak musia pochopiť, že nečinnosť a mlčanie už nepredstavuje súhlas s využitím ich osobných údajov.

GDPR ďalej vyžaduje, aby firmy a organizácie zhromažďujúce osobné údaje mohli preukázať jasný a potvrdzujúci súhlas pre spracovanie týchto dát. Väčšinu súčasných mechanizmov na získanie súhlasu nebude možné po zavedení GDPR využiť.

• Platiť za tovar odtlačkom prsta? Vitajte v roku 2018
• WhatsApp má novinku pre firmy, čoskoro aj na Slovensku

Nová pozícia: úradník zodpovedný za osobné údaje

Európske nariadenie GDPR začne byť účinné vo všetkých členských krajinách od 25. mája tohto roka. Podľa odhadov si vyžiada zmeny procesov a systémov u približne pol milióna firiem na Slovensku za vyše 40 miliónov eur. Nariadenie zavádza niekoľko nových požiadaviek, medzi ktorými je aj povinné ustanovenie DPO – zodpovednej osoby pre spracúvanie osobných údajov pre určený okruh prevádzkovateľov. Dnes je na Slovensku ustanovenie zodpovednej osoby dobrovoľné.

Ktoré firmy musia mať DPO

Podľa GDPR musia mať prevádzkovatelia Data Protection Officera v troch konkrétnych prípadoch:

• Spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt;
• Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú také spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu;
• Hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

Pojem „veľký rozsah“ nie je nikde presne kvantifikovaný. Aby firma zistila, či spadá do tejto kategórie, môže si pomôcť vysvetlením pracovnej skupiny pri Európskej komisii WP29, ktorá vydáva k GDPR metodické usmernenia. Za určujúce faktory veľkého rozsahu považuje počet dotknutých osôb, objem údajov alebo rozsah rôznych položiek údajov, dĺžku trvania alebo stálosť činnosti spracúvania a geografický rozsah spracovateľskej činnosti.

Má dotknutá osoba právo na prístup k osobným údajom, ktoré sa o ňom spracúvajú?

Dotknutá osoba má právo získať prístup k týmto údajom: účely spracúvania, kategórie osobných údajov, príjemcovia, doba uchovávania. Môže získať kópiu osobných údajov, ktoré sa spracúvajú. Informácie sa poskytujú bezodplatne. Pri opakovanej kópii je to za úhradu.