V dnešnej digitálnej dobe je ochrana osobných údajov jednou z najdôležitejších otázok, ktorým čelia organizácie a jednotlivci. Európske nariadenie o ochrane osobných údajov, známe ako GDPR (General Data Protection Regulation), spolu s novým slovenským zákonom č. 18/2018 Z. z. o ochrane osobných údajov, stanovujú prísne pravidlá pre všetkých, ktorí narábajú s osobnými informáciami.
Kto je prevádzkovateľom podľa GDPR?
Prevádzkovateľom je každý subjekt, ktorý sám alebo spoločne s inými určí účel a prostriedky spracúvania osobných údajov a spracúva ich vo vlastnom mene. Ide o subjekt, ktorý rozhoduje o tom, prečo a ako by sa mali osobné údaje spracúvať. Prevádzkovateľom môže byť fyzická i právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt.
Pokiaľ spracúvate osobné údaje vašich zákazníkov prostredníctvom informačných systémov, ste na účely GDPR prevádzkovateľom. V prípade vzniku problému, akým je napríklad únik dát alebo nedostatočné zabezpečenie proti hackerským útokom, nesie prevádzkovateľ hlavnú zodpovednosť.
Spoloční prevádzkovatelia
GDPR vymedzuje aj vzájomný vzťah spoločných prevádzkovateľov. Sú to dvaja alebo viacerí prevádzkovatelia, ktorí spoločne určia účel a prostriedky spracúvania. Ak ich vzájomný vzťah nie je upravený osobitným predpisom, musia uzavrieť písomnú dohodu, v ktorej si určia svoje zodpovednosti.
Základné zásady a právne dôvody spracúvania
Spracúvanie osobných údajov je možné len vtedy, ak na to existuje jasný právny dôvod. Takým dôvodom sú napríklad:
- Kúpne alebo pracovné zmluvy.
- Situácie, keď to nariaďuje zákon (napr. vedenie mzdovej a účtovnej evidencie).
- Ochrana práv prevádzkovateľa (napr. kamerový systém).
- Verejný záujem.
Pokiaľ žiadny právny dôvod nemáte, musíte od dotknutej osoby získať súhlas so spracovaním. Súhlas musí byť dobrovoľný, jednoznačný a nesmie ním byť podmienené uzatvorenie zmluvy.
Povinnosti prevádzkovateľa v informačných systémoch
GDPR prinieslo zmeny v administratívnych povinnostiach. Niektoré staršie povinnosti, ako oznamovacia povinnosť či osobitná registrácia informačných systémov na Úrade na ochranu osobných údajov SR, boli zrušené. Nahradili ich nové procesy:
- Záznamy o spracovateľských činnostiach: Slúžia ako „spracovateľský denník“ obsahujúci účely spracúvania, kategórie dotknutých osôb a informácie o sprostredkovateľoch.
- Posúdenie vplyvu na ochranu údajov (DPIA): Proces vyhodnocovania rizík spojených s osobitným spôsobom spracúvania, ktorý nahrádza starší bezpečnostný projekt.
- Informačná povinnosť: Povinnosť poskytnúť dotknutej osobe informácie o totožnosti prevádzkovateľa, účele spracúvania a dobe uchovávania údajov.
- Oznamovacia povinnosť pri porušení: Porušenie ochrany údajov je prevádzkovateľ povinný nahlásiť úradu najneskôr do 72 hodín.
Kamerové a audio systémy
Spracúvanie videozáznamov alebo audiozáznamov možno vykonávať len na účely verejného poriadku, bezpečnosti alebo odhaľovania kriminality. Priestor musí byť zreteľne označený ako monitorovaný, pokiaľ osobitný zákon neustanovuje inak.
Práva dotknutej osoby
Prevádzkovateľ je povinný zabezpečiť výkon práv dotknutých osôb, medzi ktoré patria:
- Právo na potvrdenie o spracúvaní údajov.
- Právo na opravu nesprávnych údajov.
- Právo na výmaz (právo na zabudnutie) za určitých podmienok.
- Právo na prenosnosť údajov k inému prevádzkovateľovi.
- Právo namietať proti spracúvaniu založenému na oprávnenom záujme.
Reagujte na žiadosti dotknutých osôb podľa GDPR s dôverou v Office 365
Sankcie za porušenie
Pri porušení povinností hrozia prevádzkovateľom vysoké finančné pokuty. Úrad môže uložiť sankciu až do výšky 10 000 000 eur alebo 2 % celkového ročného obratu, v závažnejších prípadoch (napr. porušenie základných zásad spracúvania) až do výšky 20 000 000 eur alebo 4 % celkového svetového obratu.
tags: #akom #type #informacnych #systemoch #moze #prevadzkovatel