Európske nariadenie General Data Protection Regulation (GDPR) prináša nové pravidlá ochrany osobných údajov. Od mája 2018 majú občania väčšiu kontrolu nad svojimi údajmi a podniky prospech z rovnakých podmienok. Musíte však plniť celú radu nových povinností, napr. viesť záznamy o spracovávaní osobných údjaov.
Vďaka nariadeniu EÚ o ochrane osobných údajov vznikajú nové adaptačné zákony a rušia sa tie, ktoré súvisia so Zákonom 122/2013 Z. z. Úrad pre ochranu osobných údajovNa mnohé organizácie čaká rada nových povinností, ako napr.:
Jakýkoliv subjekt, jehož data ukládáte bude mít od 25. května obrovská práva, např. být zapomenut. Zcela likvidační jsou pokuty.
Jedna z nových, ale zároveň také klíčových povinností je např. vést záznamy o činnostech zpracování. Zdokumentovat pro jaké účely, jaké údaje a za jakých podmínek zpracováváte. Potřebujete mít správně nastavené vnitřní směrnice, seznámení zaměstnanců s pokyny v oblasti zpracování a řadu dalších dokumentů.
Organizace však vždy musí zajistit, aby pověřenec pro ochranu osobních údajů nebyl ve střetu zájmů, tzn. aby sám o některé zpracování rozhodoval a nastavoval jeho konkrétní parametry.
Je vaše právní povinnost jmenovat pověřence pro ochranu osobních údajů? Nebo spadáte do kategorie těch, kterým je to "doporučeno" jako součást GDPR compliance programu? Subjektů, pro které vyplývá povinnost jmenovat pověřence pro ochranu osobních údajů přímo z právních předpisů, především GDPR, nebo pro které to je z různých způsobů vhodné a výhodné, bude celá řada. Jmenovitě:
Orgán veřejné správy nebo samosprávy a další veřejné instituce, které vykonávají veřejnoprávní agendu či vedou správní nebo obdobné řízení. Pověřence tak musí jmenovat:
Organizace, která provádí rozsáhlé a pravidelné zpracování osobních údajů včetně monitorování a profilování dotčených osob. Nevytvoření pozice pověřence pro ochranu osobních údajů, její nesprávné organizační zařazení nebo její obsazení osobou, která nemá dostatečné znalosti práva a praxe zpracování osobních údajů, může být posouzeno jako porušení GDPR pod hrozbou sankce až 10 milionů nebo 2 % z celosvětového obratu dané skupiny podniků, podle toho, která částka je vyšší.
Tato nejširší kategorie zahrnuje společnosti napříč odvětvími:
Do této kategorie spadají všechny instituce, jejichž činnost spočívá ve zpracování citlivých osobních údajů (o zdravotním stavu, biometrických či genetických údajů, údajů o rasovém či etnickém původu, o sexuální orientaci ...) Pověřence tam musí mít
Pověřence pro ochranu osobních údajů mohou jmenovat i další organizace, kterým tato povinnost přímo z právní úpravy nevyplývá. Vytvoření funkce pověřence a její obsazení kvalifikovaným zaměstnancem podle požadavků GDPR může být důležitou součástí compliance programu, a přispět tak k doložení souladu činnosti organizace s právními požadavky.
Dobrovolné jmenování pověřence pro ochranu osobních může být významným pozitivním signálem o tom, že daná organizace klade důraz na řádné zpracování osobních údajů a zajištění jeho souladu s právními požadavky jak pro klienty, tak pro zaměstnance či dodavatele dané organizace.
Dostatečně nastavený a v praxi vymáhaný compliance program může být i nástrojem pro zamezení trestní odpovědnosti dané právnické osoby.
V jakých případech je doporučeno jmenováním pověřence jako pozitivní signál k ÚOOÚ?
Každá organizace, která pověřence jmenuje, je odpovědna nejen za to, že vybrala dostatečně kvalifikovanou osobu, ale že pověřenci přidělí zdroje k tomu, aby svoji kvalifikaci i nadále udržoval a rozvíjel.
Pověřenec pro ochranu osobních údajů musí mít alespoň základní znalosti práva i praxe v oblasti zpracování osobních údajů. A měl by mít i základní schopnost orientace v informační bezpečnosti, nastavování a řízení procesů a provádění auditu. Zdá se to jako náročný úkol, ale na tuto pozivi vás připravíme v mezinárodně certifikovaném kurzu, který nevyžaduje žádné vstupní předpoklady.
Co vše spadá do agendy pověřence pro ochranu osobních údajů? Z titulu Pověřence pro ochranu osobních údajů na vás může organizace uložit řadu úkolů. Participace na vzdělávání zaměstnanců, revize interních směrnic a smluv (které se týkají zpracování osobních údajů). Vedení záznamů o zpracování a reportování případů, kdy došlo k porušení bezpečnosti dat na ÚOOÚ.
Další agenda:
Jmenováním pověřence pro ochranu osobních údajů však povinnosti organizace pro zajištění souladu s GDPR nekončí, ale spíše začínají. Organizace, ať už správce nebo zpracovatel osobních údajů, musí mj. zajistit, že pověřenec bude včas a v dostatečném rozsahu zapojen do všech procesů mající vztah ke zpracování osobních údajů a nastavování jeho parametrů, že bude mít dostatečné zdroje k plnění svých úkolů, že bude při jejich plnění nezávislý a že bude mít ve věcech ochrany dat přístup k vedení organizace.
GDPR Audit Tool důkladně filtruje zjištění souladu do profesionálně připravených odpovědí v takové úrovni, abyste identifikovali co nejpřesněji podstatné aspekty a nevyhovujících oblastí zpracování osobních údajů.
Mezi další kritická data patří GPS pozice, zdravotní údaje a mnoho dalších informací, které identifikují, nebo popisují konkrétního jedince.
Provozovatelem je Úřad pro publikace Evropské Unie. V předpisech je možno vyhledávat podle názvu, čísla dokumentu, celexového čísla apod.
V případě porušení/nedodržení povinností nebo odmítnutím spolupráce se státním kontrolním orgánem, se zpracovatel dat vystavuje sankci až do hodnoty 20 mil. EUR případně do 4% celosvětového ročního obratu společnosti. Sankci je samozřejmě možné uložit opakovaně.
Vycházející z Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.
2. Správce a zpracovatel podporují pověřence pro ochranu osobních údajů při plnění úkolů uvedených v článku 39 tím, že mu poskytují zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.
3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.
4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.
5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.
6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich povinnostech podle tohoto nařízení a dalších předpisů Unie nebo členských států v oblasti ochrany údajů;
b) monitorování souladu s tímto nařízením, dalšími předpisy Unie nebo členských států v oblasti ochrany údajů a s koncepcemi správce nebo zpracovatele v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;
c) poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35;
d) spolupráce s dozorovým úřadem a
e) působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování, včetně předchozí konzultace podle článku 36, a případně vedení konzultací v jakékoli jiné věci.
Právo být zapomenut
Right to be forgotten
Snazší přístup k datům
Easier access to one's data
Právo na přenositelnost dat
Right to data portability
Ochrana dat jako základní požadavek na design a výchozí stav
Security by design and by default
Snazší vymahatelnost práva
Stronger enforcement of the rules
Informovanost v případě bezpečnostního incidentu
The right to know when one's data has been hacked.
Chcete získať darček k narodeninám?