Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
Predplatné
Štvrtok, 28. marec 2024 | meniny má Soňa , zajtra Miroslav
Deň učiteľov
TlačPoštaZväčšiZmenši

GDPR už klope na dvere účinnosti, dotýka sa aj agrobiznisu, či poľovníctva?

najpravo.sk • 7.2. 2018, 17:19

Nariadenie Európskeho parlamentu a rady (EÚ) č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, tiež všetkým známe pod názvom GDPR prichádza k nám z Európskeho parlamentu a prináša so sebou veľké zmeny v oblasti ochrany osobných údajov. Nariadenie GDPR môžeme považovať za prvý najkomplexnejší súbor pravidiel v oblasti ochrany osobných údajov, ktorý prináša unifikáciu pravidiel v celom priestore Európskej únie.

 

 

Všetky spoločnosti spracúvajúce osobné údaje by mali spozornieť.  Či už ide o spracúvanie osobných údajov osvojich zamestnancoch, zákazníkoch, klientoch, akcionároch, členoch družstva, podielnikoch, ale taktiež o kamerové záznamy a mnohé iné kategórie osobných údajov. Do pozornosti sa oplatí hlavne dať aj zmluvných a predzmluvných partnerov. Či už ide o nájomné zmluvy a všetky poskytnuté údaje od prenajímateľov, vždy treba pri ich uzatváraní myslieť na vzťah, ktorý k ním má nové nariadenie GDPR, a čo to všetko znamená.

Pod pojem osobné údaje môžeme zastrešiť skutočne obrovskú škálu údajov. Nariadenie totižto za osobný údaj považuje: „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“ Z tohto nám jasne vyplýva, že údaje ako meno, priezvisko, bydlisko či dátum narodenia, ktoré sú v prípade tak častých uzatváraných nájomných zmlúv v oblasti agrobiznisu či poľovníctva, možno so stopercentnou istotou považovať za osobné údaje, na ktorých ochranu sa GDPR vzťahuje.

Účinnosť tejto novej právnej úpravy sa expresne blíži a začína už 25. mája 2018. Do tejto doby sa všetky spoločnosti, ako aj ďalšie subjekty, na ktoré sa nariadenie vzťahuje, musia s právnou úpravou vysporiadať a byť schopné zaručiť požadovanú ochranu osobných údajov všetkým dotknutým osobám. Je potrebné poukázať  sa na možné prípady porušenia nariadenia v podmienkach agrobiznisu či poľovníctva. V prípade že agrosubjekt, alebo subjekt vykonávajúci právo poľovníctva je nájomcom, a má častokrát uzavreté veľké množstva nájomných zmlúv s prenajímateľmi, ktorých sú stovky, a tí mu poskytli svoje osobné údaje je právnym základom spracúvania týchto osobných údajov čl. 6 písm. b) nariadenia, podľa ktorého je spracúvanie zákonné, ak je nevyhnutné na plnenie zmluvy, ktorou zmluvnou stranou je aj dotknutá osoba, v danom prípade prenajímatelia. Toto spracúvanie údajovsa síce podriadilo pod určitý právny základ nariadením povolený, no GDPR ukladá ešte ďalšie povinnosti, ktoré ako nájomcovia  - prevádzkovatelia musia splniť.

Je potrebné upriamiť pozornosť na tzv. informačnú povinnosť,  ktorú GDPR určuje každému, kto spracúva osobné údaje o dotknutých osobách. Nové nariadenie v článku 13 demonštratívne vymenúva informácie, ktoré musia byť v rámci informačnej povinnosti oznámené dotknutým osobám - prenajímateľom pri získavaní osobných údajov od týchto osôb a to pri každom jednom účele spracúvania. Tu považujeme za najrozumnejšie zahrnúť tento krok do vypracovaných doložiek k nájomným zmluvám, kde budú zmluvné strany informované o zákonom stanovených informáciách.

Ďalej nariadenie v čl. 25 upravuje špecificky navrhnutú a štandardnú ochranu údajov, čo znamená, že každý prevádzkovateľ je povinný prijať a vykonať primerané technické a organizačné opatrenia tak, aby zabezpečil spracúvanie len tých osobných údajov, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Tieto opatrenia sa musia aplikovať vo vzťahu ku množstvu získaných údajov, rozsahu ich spracúvania, dobu ich uchovávania a ich dostupnosť. Takýmito opatreniami sa taktiež musí zabezpečiť, aby osobné údaje neboli štandardne prístupné neobmedzenému počtu fyzických osôb, ale len určitému počtu oprávnených osôb, ktoré musia byť vopred o svojich povinnostiach poučené.

Nariadenie GDPR netreba brať na ľahkú váhu. Za porušenie právnych povinností sa budú ukladať obrovské pokuty, ktoré sa môžu vyšplhať až na sumu 20 miliónov eur, resp. 4 % z celkového svetového ročného obratu. Výška týchto pokút nielen znie horibilne, ale vo väčšine prípadov môže pôsobiť likvidačne.

Všetci prevádzkovatelia, teda osoby, ktoré spracúvajú osobné údaje vo svojom mene, ale aj sprostredkovatelia, a to tí ktorí tieto osobné údaje spracúvajú v mene prevádzkovateľov sa musia vysporiadať nielen so zabezpečením ochrany osobných údajov, ale taktiež musia dotknutým osobám zaručiť práva, ktoré im nariadenie priznáva. Medzi tieto práva patrí napríklad právo na prístup k údajom, právo na prenosnosť osobných údajov, právo byť informovaný o všetkých osobných údajoch spracúvaných u prevádzkovateľa, právo na opravu nesprávnych osobných údajov a taktiež právo na zabudnutie resp. na vymazanie osobných údajov.

Nová prichádzajúca legislatíva si vyžaduje naozaj veľkú pozornosť. Na to, aby sa osoby spracúvajúce osobné údaje s ňou zosúladili, bude potrebné prijať značné množstvo technických či organizačných opatrení, a taktiež vykonať viaceré zmeny v podobe písomných zmluvných dodatkov či doložiek, ale taktiež bude nevyhnutné zaviesť zmeny v procesoch  v technológiách slúžiacich na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami alebo inými prostriedkami, v prípade údajov, ktoré sú súčasťou informačného systému. Kroky, ktoré by mal prevádzkovateľ uskutočniť by mohli začať tým, že na začiatok sa  posúdi aktuálny stav plnenia požiadaviek GDPR, posúdia sa riziká, ktoré prichádzajú pri spracúvaní osobných údajov do úvahy, a následne sa určí a nastaví primeraná úroveň bezpečnosti.

Doposiaľ platná právna úprava ochrany osobných údajov v zákone č. 122/2013 Z. z. nekládla na prevádzkovateľov, také požiadavky ako to bude od mája 2018 s prichádzajúcim nariadením. Nariadenie GDPR expressis verbis, a teda výslovne a jednoznačne ustanovuje zodpovednosť prevádzkovateľov za súlad so zásadami spracúvania osobných údajov a zároveň kladie dôkazné bremeno na preukázanie tohto súladu taktiež priamo na prevádzkovateľa. Už nebude povinný úrad hľadať dôkazy a skúmať či prevádzkovateľ postupuje pri spracúvaní osobných údajov dotknutých osôb v súlade so zásadami zakotvenými v nariadení. Od mája 2018 myslite na zákonné zásady spracúvania osobných údajov a nezabudnite, že akékoľvek spracúvanie musí byť zákonom povolené, spravodlivé, ale taktiež transparentné. Ďalšou zásadou, na ktorú je potrebné myslieť je zásada obmedzenia účelu, ktorá stanovuje, že účel, na ktorý chceme osobné údaje spracúvať musí byť konkrétny, jasný, legitímny a presne vymedzený. Zásada správnosti, integrity a dôvernosti zasa slúži na ubezpečenie dotknutých osôb, že ich osobné údaje sú chránené a vždy aktuálne. Taktiež je potrebné vždy zvážiť, na akú dobu potrebujeme údaje spracúvať a túto dobu si riadne vymedziť. Pokiaľ to nie je úplne možné, je potrebné stanoviť kritérium jej určenia. Pokiaľ sa prevádzkovateľ bude pridržiavať týchto zásad, zabezpečenie súladu s nariadením GDPR bude jednoduché.

Nariadenie GDPR zároveň prichádza so zavedením inštitútu Data protection officer – DPO, známej aj ako zodpovedná osoba. Táto osoba je osoba odborne znalá v oblasti ochrany osobných údajov. Jej úlohou je hlavne poskytovanie informácií a poradenstva v oblasti ochrany osobných údajov pre prevádzkovateľov či poskytovateľov. Monitoruje súlad s nariadením GDPR, zvyšuje povedomie, zaškoľuje a zastrešuje odbornú prípravu personálu a mnoho ďalších úloh smerujúcich k zabezpečeniu súladu s ustanoveniami nového nariadenia. Nariadenie obligatórne stanovuje subjekty, ktoré musia funkciu zodpovednej osoby obsadiť, a to tie, ktoré pravidelne a systematicky monitorujú osobné údaje dotknutej osoby vo veľkom rozsahu a taktiež subjekty, u ktorých môžeme spracúvanie osobných údajov považovať za hlavnú činnosť. Nariadenie sa však už nezaoberá tým, čo pod touto hlavnou činnosťou, alebo spracúvaním vo veľkom rozsahu možno rozumieť. Toto uváženie ponecháva GDPR viac menej na prevádzkovateľoch, ktorý musia pri rozhodovaní o obsadení, resp. neobsadení funkcie zodpovednej osoby zohľadniť najmä faktory, ako sú predovšetkým počet dotknutých osôb, objem a rozsah osobných údajov, geografický rozsah spracúvania, trvanie spracovateľskej činnosti či pravdepodobnosť vysokého rizika. Taktiež treba skúmať čo možno považovať za hlavnú činnosť. Určite treba pod túto činnosť zaradiť spracúvanie, ktoré je nevyhnutné na to aby prevádzkovateľ zabezpečil svoj zamýšľaný cieľ, ale aj prípady, keď spracúvanie osobných údajov tvorí neoddeliteľnú súčasť hlavnej činnosti prevádzkovateľa.

Novoprijatá európska legislatíva má určite dopad aj na vašu spoločnosť. Ubezpečte sa, že zosúladenie procesov spracúvania osobných údajov vo vašej spoločnosti s nariadením GDPR a jeho implementácia budú na perfektnej úrovni. Nebojte sa dať si poradiť odborníkmi v tejto oblasti a zložte na nás svoje starosti.

Autor:


Mgr. Denisa FORGAČOVÁ
advokátsky koncipient Advokátskej kancelárie SLAMKA & Partners s.r.o.

Ilustračné foto: najprávo.sk

Ohodnoťte článok
Hlasovalo: 1019

Nový príspevok

PoUtStŠtPiSoNe
: