Už viac ako rok je platné nové Nariadenie Európskeho parlamentu a rady (EU) č. 2016/679 v oblasti ochrany osobných údajov (OOU). Podľa tohto nariadenia sme povinní postupovať najneskôr od 25. mája 2018 aj bez prijatia akýchkoľvek iných právnych noriem. Na Slovensku je pripravený nový Zákon o OOU, ktorý bude upravovať OOU na naše podmienky, samozrejme plne v súlade s predmetným Nariadením EU. Nový zákon stále nie je schválený, aktuálne je vládny návrh zákona len v 1. čítaní a predpokladá sa, že by mal byť schválený do januára-februára 2018.
Keďže, bez ohľadu na to, v akom stave bude náš „národný“ zákon o OOU, sa musíme riadiť Nariadením EU, uvediem pár bodov do vašej pozornosti, aby ste sa vedeli pripravovať.
- OOU je postavená na základných princípoch
- obmedziť spracovávanie OU výhradne na dopredu stanovený účel,
- obmedziť spracovávanie OU v nevyhnutnom rozsahu,
- obmedziť uchovávanie OU len na nevyhnutnú dobu a v nevyhnutnom rozsahu,
- vyžadovať transparentnosť pri spracovaní OU (kto, čo, ako, kedy, prečo – v každom okamihu),
- zaistiť bezpečnosť pri spracovávaní a uchovávaní OU.
2. Definícia, čo je to OU, v zásade zostáva nezmenená, ale v rámci tejto definície sa rozširujú údaje, ktoré sú už považované za OU, ako sú napr. IP adresy, cookies, identifikačné čísla, lokalizačné údaje, rôzne online identifikátory a pod.
3. RČ už nebude patriť do osobitnej kategórie OU, ale budú pri ňom platiť určité pravidla – ako pri použití u zamestnávateľa, tak aj pri ostatnom spracovávaní.
4. Zavádzajú sa nové pojmy, ako sú profilovanie, pseudonymizácia, spoloční prevádzkovatelia a iné.
5. Právnym základom naďalej zostáva ja Súhlas dotknutej osoby, ale je obmedzený, tj. nie vždy bude stačiť na spracovávanie OU Súhlas dotknutej osoby.
6. Spresnili a vymedzili sa práva dotknutej osoby a to:
- právo na opravu,
- právo na výmaz (tzv. zabudnutie),
- právo na obmedzenie spracúvania,
- právo na prenosnosť údajov (za určitých podmienok, ako je strojové spracovanie, právnym základom je súhlas alebo zmluva, OU poskytla sama DO),
- právo namietať,
- právo namietať automatizované individuálne rozhodovanie a profilovanie.
7. Zrušia sa povinnosti prevádzkovateľa – osobitná registrácia, oznamovacia povinnosť a evidencia informačných systémov OU (známe Evidenčné listy).
8. Zavádza sa nová evidencia Záznamy o spracovateľských činnostiach (operáciách) s určeným obsahom a podmienkami. Formulár Záznam spracovateľských operácií vydá Úrad na OOU.
9. Naďalej zostáva povinnosť prijať bezpečnostné opatrenia na OOU, ale ruší sa povinnosť mať vypracovaný Bezpečnostný projekt. Bude potrebné posudzovať vplyv spracovateľských operácií a to hlavne všetky riziká, ktoré môžu nastať.
10. Zavádza sa povinnosť Predchádzajúcej konzultácie s dozorným orgánom (bude pravdepodobne Úrad na OOU) a to v prípade, že spracúvanie OU by viedlo k vysokému riziku, ak by prevádzkovateľ neprijal opatrenia na zmiernenie rizika.
11. Bude povinnosť mať Zodpovednú osobu za dohľad nad OOU a to ak:
- ste orgán verejnej moci alebo verejnoprávny subjekt,
- vašimi hlavnými činnosťami sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
- vašimi hlavnými činnosťami sú spracúvanie osobitných kategórií OU vo veľkom rozsahu.
V ostatných prípadoch Zodpovednú osobu môžete ale nemusíte mať.
12. Zodpovedná osoba už nebude musieť vykonávať skúšky, ale bude musieť byť odborne spôsobilá a to hlavne v odbornej znalosti práva a postupov v oblasti ochrany údajov. Kontakt na Zodpovednú osobu bude musieť byť známy všetkým dotknutým osobám.
K Nariadeniu EU a rovnako aj k novému Zákonu o OOU budú vydané Vyhlášky a Metodické usmernenia, z ktorých bude viac zrejmé, ako si máme vysvetliť jednotlivé články a paragrafy. Následne vás o týchto usmerneniach budem znovu informovať.
V tomto okamihu viete začať s prípravou a to hlavne:
– zistiť v celej organizácii (po jednotlivých oddeleniach, strediskách a pod.), či spracovávajú OU a ak áno, aké,
– zadefinovať účel spracúvania OU a na základe toho zaradiť OU do jednotlivých IS OU,
– určiť právny základ (na základe čoho sa OU spracovávajú – je to súhlas DO, zákon, zmluva…. ?),
– definovať spracovateľské operácie (aspoň nahrubo, pretože k tomu bude vydaný Zoznam spracovateľských operácií),
– zistiť, komu OU poskytujete, sprístupňujete, zverejňujete,
– zistiť, akým spôsobom sa OU spracováva – v ktorej budove, kancelárii, v akej aplikácii, SW, tabuľke, exceli, worde a pod.,
– ako dlho uchovávate jednotlivé OU, kde máte lehoty uvedené,
Tam, kde ste mali vypracovaný Bezpečnostný projekt podľa aktuálne platného zákona č. 122/2013 Z.z. o OOU, budú tieto činnosti podstatne jednoduchšie, pretože bude potrebné urobiť len aktualizáciu súčasného stavu voči stavu, ktorý bol v čase vypracovania BP.
Na základe zisteného stavu je potrebné navrhnúť cieľový stav a určiť postup a prostriedky, ktorými sa k cieľovému stavu viete dostať. Uvedené služby vrátane služieb Zodpovednej osoby vieme pre vašu organizáciu zabezpečovať aj my, či už na základe existujúceho platného zákona č. 122/2013 Z.z. o OOU (úspešne absolvovaná skúšku na UOOU) alebo na základe Nariadenia EU.