Nová ochrana osobných údajov: súlad s nariadením EU

Dňa 25.mája 2018 nadobudne účinnosť Nariadenie o ochrane údajov (GDPR), čo bude mať za následok zvýšené požiadavky na zodpovednosť za spracúvanie a správu osobných údajov. Dotknuté osoby budú povinné zaviesť rozsiahle kontrolné mechanizmy k zabezpečeniu súladu s GDPR. Zásada zodpovednosti výslovne vyžaduje, aby subjekty boli schopné preukázať súlad s nariadením. Porušenie povinnosti môže viesť k uloženiu vysokých pokút až do výšky 20 miliónov EUR alebo 4% celosvetového ročného obratu. Vzhľadom k tomu, že do mája 2018 by mal byť zabezpečený súlad s požiadavkami GDPR, odporúčame Vám včas začať s prípravou a to predovšetkým uskutočnením nasledujúcich krokov.

1. Informácie
Zistite si podrobné informácie o nových požiadavkách a vyhodnoťte vaše doterajšie spracúvanie osobných údajov

2. Identifikácia oblasti spracúvania osobných údajov
Je potrebné identifikovať oblasti, kde sa vykonávajú činnosti súvisiace so spracúvaním osobných údajov, zvyčajne pôjde o oddelenia Ľudských zdrojov (vrátane žiadosti o zamestnanie), oddelenia Riadenia kreditného rizika-CRM a Marketingu (informačný bulletin, vernostné karty, monitoring kamerovými systémami atď.).

3. Posúdenie zákonnosti spracúvania
Každá činnosť, pri ktorej sa spracúvajú údaje, sa musí posudzovať samostatne, a to najmä s ohľadom na to, či sa dodržiavajú zásady ochrany osobných údajov (napr. zásada obmedzenia účelu, minimalizácie údajov, integrity a dôvernosti atď.). Okrem toho povinný subjekt musí zabezpečiť právny dôvod každého spracúvania osobných údajov a to buď na základe súhlasu dotknutej osoby alebo zákonného dôvodu. Pokiaľ je spracúvanie údajov založené na súhlase, je potrebné preskúmať, aký spôsobom bol tento súhlas získaný, či boli dotknutej osobe poskytnuté povinné informácie a akým spôsobom možno túto skutočnosť preukázať.

4. Vyhodnotenie vnútorných procesov
Okrem toho je potrebné preskúmať vnútorné procesy spracúvania osobných údajov ako aj systémy informačných technológií. Následne bude nevyhnutné prijatie organizačných a technických opatrení k zabezpečeniu ochrany údajov a vymedzenie zodpovednosti. Regulačné orgány očakávajú, že hlásenia týkajúce sa ochrany osobných údajov budú smerovať až k vrcholovému manažmentu. Požadované technické požiadavky na ochranu a bezpečnosť spracúvania osobných údajov by mali byť prekonzultované s IT špecialistom.

5. Preskúmanie vnútorných predpisov a pokynov
Po preskúmaní interných procesov by mali byť organizačné a technické opatrenia zapracované do vnútorných predpisov. V oblasti ľudských zdrojov by mali vnútorné predpisy najmä upravovať spracúvanie osobných údajov a zákazníkov. Vnútorné predpisy by mali zahŕňať aj postup pre prípad porušenia zabezpečenia ochrany osobných údajov alebo ich prenosu. Rovnako bude potrebné vypracovať alebo aktualizovať vyhlásenie o ochrane osobných údajov, v ktorom informujte dotknuté osoby o tom ako nakladáte s ich osobnými údajmi.

6. Dokumentácia
Pre určité procesy spracúvania osobných údajov je zavedená povinnosť dokumentácie. Odporúčame , aby ste obdobne dokumentovali všetky činnosti súvisiace so spracúvaním osobných údajov a tak bol zabezpečený súlad so všeobecnou zásadou zodpovednosti.

7. Zodpovedná osoba
Určitá kategória subjektov je povinná vymenovať zodpovednú osobu za ochranu osobných údajov. Zvážte, či sa vás táto povinnosť netýka.
8. Školenie zamestnancov
Zamestnanci, ktorí majú prístup k osobným údajom, musia byť školení o nových požiadavkách a vedúci zamestnanci mali by sledovať implementáciu týchto požiadaviek.

Upozorňujeme, že kontrola a zabezpečenie ochrany osobných údajov sú procesy, ktorým je potrebné venovať pozornosť nepretržite počas celého procesu spracovania osobných údajov.
Toto zhrnutie poskytuje všeobecný prehľad týkajúci sa auditu ochrany údajov.

Špecifiká činnosti , ktorú Vaša spoločnosť vykonáva ako aj špecifiká právnych predpisov štátu, v ktorom pôsobíte si môžu vyžadovať ďalšiu hlbšiu právnu analýzu. Ak máte záujem o individuálne poradenstvo neváhajte nás kontaktovať.