V dnešnom príspevku sa budeme venovať GDPR – inými slovami nariadeniu o ochrane osobných údajov, ktoré nadobúda účinnosť 25. mája 2018. V súvislosti s nariadením nadobúda účinnosť aj nový zákona č. 18/2018 Z. z. o ochrane osobných údajov, ktorý nadväzuje na nariadenie EÚ a v niektorých otázkach ho dopĺňa.
Pri spracúvaní osobných údajov je každý prevádzkovateľ povinný dodržiavať niekoľko zásad spracúvania osobných údajov. Na tieto zásady odkazuje GDPR, ale aj zákon o ochrane osobných údajov.
Základné zásady spracúvania osobných údajov sú tieto:
Všetky osobné údaje musia byť spracúvané zákonným spôsobom (teda v súlade s GDPR a zákonom č. 18/2018 Z. z.), pričom je potrebné zabezpečiť, aby nedochádzalo k porušeniu práv osoby, ktorej osobné údaje sa spracúvajú. Toto je základná zásada, od ktorej sa odvíjajú ďalšie povinnosti všetkých prevádzkovateľov.
Osobné údaje sa môžu získavať len na konkrétne určený, ktorý musí byť jasne vymedzený a osoba, ktorej osobné údaje sa spracúvajú musí tento účel poznať. Osobné údaje získané na jeden účel nemôžu byť bez ďalšieho právneho základu použité na iný účel. Po naplnení účelu nemôžu byť osobné údaje ďalej spracúvané a musia byť zlikvidované, resp. ak sú splnené zákonné podmienky môžu byť archivované na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak sú splnené zákonné podmienky a poskytnuté záruky ochrany takto ďalej spracúvaných osobných údajov (najmä údaje musia byť zabezpečené, pseudonymizované a môžu byť spracúvané len v nevyhnutnom rozsahu).
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. To znamená, že je neprípustné spracúvať údaje, ktoré nie sú nevyhnutne potrebné na dosiahnutie účelu spracúvania a právnemu základu.
Právnych základov spracúvania osobných údajov podľa GDPR je šesť a sú nimi:
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; Prevádzkovatelia musia mať prijaté opatrenia, aby sa nesprávne, alebo neaktuálne údaje bez zbytočného odkladu vymazali alebo opravili. Rovnako je potrebné opraviť, alebo vymazať osobné údaje na podnet dotknutej osoby.
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov. Technické a organizačné opatrenia sú opatrenia a procesy, prostredníctvom ktorých sú chránené osobné údaje. Softwarové opatrenia sú šifrovanie, používanie hesiel, firewall, antivírový program. Ďalšie technické opatrenia sú uzamykanie priestorov, inštalácia bezpečnostných systémov – alarmov, mreží, uzamykanie dokumentov s osobnými údajmi do archivačných skríň. Organizačné opatrenia sú preškolenie oprávnených osôb, dodržiavanie procesov spracúvania osobných údajov, a ďalšie opatrenia na minimalizáciu bezpečnostných incidentov.
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať. Zodpovednosť prevádzkovateľa je objektívna. Aj keď v dnešnej dobe nie je možné vylúčiť absolútne všetky riziká, je potrebné eliminovať ich dostupnými prostriedkami do takej miery, aby zostatkové riziko bolo čo najmenšie.
V prípade otázok v súvislosti s ochranou osobných údajov, novým zákonom a nariadením GDPR nás neváhajte kontaktovať.
Bratislava, 12. mája 2018
zdroj:
Zákon č. 18/2018 Z. z. o ochrane osobných údajov dostupný na: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525
GDPR dostupné na: https://dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf