Dňa 4. mája 2016 bolo v Úradnom vestníku Európskej únie zverejnené nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Všetky organizácie sú povinné sa zosúladiť s požiadavkami tohto nariadenia do 25. mája 2018, odkedy začne byť nariadenie účinné.

 

Do tohto dátumu budú podnikatelia musieť zrevidovať svoje interné procesy, právnu a bezpečnostnú dokumentáciu a postupne ich prispôsobiť požiadavkám GDPR. Miera regulačných dopadov na konkrétnych podnikateľov sa bude líšiť, pričom ich „váha“ bude závisieť najmä od povahy, množstva a citlivosti osobných údajov spracúvaných konkrétnym podnikateľom spojených s rizikami. Proces prispôsobenia súčasných systémov a procesov ochrany osobných údajov, tak môže byť u niektorých podnikateľov pomerne zložitým a časovo náročným procesom. Je preto vhodné, aby podnikatelia začali s prípravou na novú reguláciu ochrany osobných údajov, čo možno najskôr.

Prevádzkovateľ je však naďalej povinný byť v súlade s aktuálnou legislatívou zákona č. 122/2013 Z. z., o ochrane osobných údajov v znení zákona č.84/2014 Z. z. („Zákon o ochrane osobných údajov“)

Čo nové pravidlá prinášajú?

  • za najzávažnejšie právne delikty budú dozorné orgány ukladať pokuty až do výšky 20 000 000 EUR, alebo až do výšky 4 % celkového ročného obratu podniku,
  • posúdenie vplyvu – povinnosť prevádzkovateľa bude vykonať tzv. posúdenie vplyvu. V prípade, že táto analýza rizík poukáže na vysoké riziko, bude musieť získať predbežný súhlas od Úradu na ochranu osobných údajov,
  • dotknutá osoba má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie svojich OÚ, ak je splnený niektorý z týchto dôvodov: osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo dotknutá osoba odvolá súhlas a neexistuje iný právny základ,
  • rozširujú sa povinnosti a zodpovednosť pre sprostredkovateľov,
  • niektorí prevádzkovatelia budú musieť vymenovať nezávislú zodpovednú osobu,
  • prevádzkovatelia budú musieť získať súhlas od rodičov so spracovaním osobných údajov detí mladších ako 16 rokov,
  • žiadne registrácie systémov - prevádzkovatelia budú povinní udržiavať interné záznamy o činnostiach súvisiacich so spracovaním osobných údajov (o sprístupniť ich na požiadanie úradu).
  • povinné ohlasovanie incidentov - vo väčšine prípadov budú musieť byť porušenia práva na ochranu osobných údajov hlásené do 72 hodín,