.
25. mája 2018 vstúpi do platnosti zákon číslo 18/2018 Z. z. o ochrane osobných údajov, ktorý nahrádza doteraz platný zákon.
Zákon sa týka každého, kto uchováva osobné údaje. Či ste prevádzkovateľ e-shopu, ktorý zbiera emailové adresy svojich klientov, alebo lekár, ktorý vedie kartotéku o svojich pacientoch.
Čo sú osobné údaje?
Meno, priezvisko, adresa, vek, pohlavie, emailová adresa alebo telefónne číslo. A nielen to. Všetky údaje, na základe ktorých je možné niekoho identifikovať. V novom zákone pribudli ďalšie pojmy, ako lokalizačné údaje (IP adresa) a online identifikátory (cookies).
Zákonu o ochrane osobných údajov však podliehajú iba v prípade, ak ich uchovávate.
Koho sa teda GDPR týka?
Každého, kto v nejakej forme uchováva a spracováva osobné a lokalizačné údaje a online identifikátory osôb.
Aké sú najdôležitejšie zmeny nového zákona?
Nový zákon rozširuje práva dotknutých osôb. Od mája 2018 vás môžu osoby, ktorých údaje spracúvate, požiadať aj o poskytnutie informácií o:
*účele spracovania osobných údajov
*dobe, po ktorú sa jej osobné údaje uchovávajú
Tiež vás môžu požiadať o
*opravu údajov či ich vymazanie,
*obmedzenie spracúvania,
*prenos údajov,
*prístup k svojim údajom
Musíte teda vytvoriť vhodný systém uchovávania údajov, cez ktorý si dotknuté osoby budú môcť uplatňovať svoje práva.
Ako to vyzerá v praxi?
Už pri prvom kontakte s dotknutou osobou, teda ešte skôr, ako získate jej osobné údaje, ste povinný osobu poučiť o jej právach a poskytnúť jej všetky informácie o spôsobe, akým jej osobné údaje mienite uchovávať a na aké účely ich chcete použiť.
Osoby, ktorých údaje spracúvate, majú právo na prístup k údajom. To znamená, že majú právo vedieť, ako a aké ich údaje spracúvate. Každú takúto žiadosť ste povinný vybaviť v zákonom stanovenej lehote.
Bezpečnostné opatrenia
Zákon o ochrane osobných údajov vám ukladá, aby ste prijali primerané organizačné a technické opatrenia, ktoré zabránia úniku osobných údajov. Ak ste menšia firma a údaje spracováva iba jeden poverený pracovník na jednom počítači, bude potrebné menšie zabezpečenie ako vo väčších podnikoch.
Aké bezpečnostné opatrenia treba prijať?
Zákon doteraz neustanovoval, aké bezpečnostné opatrenia by mali podniky prijať. Nový zákon však tieto opatrenia presne definuje a ide o nasledovné:
*pseudonymizáciu a šifrovanie osobných údajov;
*schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
*schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
*proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
Ak niektorý z týchto opatrení nepovažujete za vhodný, bolo by dobré, ak by ste dôvody zdokumentovali.
Prvé kroky
Spravte si audít osobných údajov. Prejdite si nasledujúce body so správcom vašej webovej stránky či systému, v ktorom uchovávate osobné údaje alebo s niekým, kto sa vyzná v práve:
*na aký účel spracúvate osobné údaje;
*čie osobné údaje spracúvate;
*aké osobné údaje spracúvate;
*ako dlho osobné údaje uchovávate;
*komu osobné údaje poskytujete;
*kto má prístup k osobným údajom;
*akými prostriedkami spracúvate osobné údaje;
*ako sú zabezpečené jednotlivé prostriedky na spracúvanie osobných údajov;
*aké bezpečnostné opatrenia ste prijali;
*ako riešite prípadný bezpečnostný incident
V prípade akýchkoľvek nejasností sme pre našich klientov k dispozícii.