S blížiacou sa účinnosťou nového Nariadenia GDPR sa šíria nielen dobré rady, ako sa naňho pripraviť, ale aj poplašné správy, ktoré buď majú umožniť ich autorom privyrobiť sa na nepotrebných zákazkách alebo jednoducho sú výsledkom nepochopenia niektorých súvislostí.
Vo všeobecnosti treba vychádzať z faktu, že doterajšia úprava ochrany osobných údajov v SR bola podstatne prísnejšia, než vyžadovala príslušná smernica EÚ (Directive 95/46/EC).
Preto aj zmeny, ktoré prináša GDPR, nie sú na Slovensku také rozsiahle, ako v štátoch, v ktorých ochrana osobných údajov iba sledovala minimum určené citovanou smernicou.
Ak sa odhliadne od tejto podstatnej skutočnosti, vznikajú hoaxy.
Nižšie popisujem tie hoaxy, s ktorými som mal tú "česť" sa stretnúť. Každý z týchto hoaxov som doplnil o upresnenie právneho stavu, ktoré spravidla znamená úplné popretie citovaného hoaxu.
1. Účinnosťou Nariadenia GDPR bude možné spracúvať osobné údaje iba so súhlasom dotknutej osoby.
Komentár:
Nie. Nariadenie GDPR uvádza viacero právnych základov, napríklad
- spracúvanie na základe zákonnej povinnosti prevádzkovateľa,
- spracúvanie osobných údajov zmluvnej strany.
2. Účinnosťou Nariadenia GDPR budú všetci prevádzkovatelia povinní osobitne informovať každú dotknutú osobu o spracúvaní jej osobných údajov.
Komentár:
Nie.
Citovaná povinnosť sa podľa Nariadenia GDPR vzťahuje iba na prípady, kedy sa osobné údaje získavajú od dotknutej osoby.
Ak sa osobné údaje získavajú od inej osoby alebo ak ich poskytuje samotná dotknutá osoba, prevádzkovateľ môže zvoliť iný spôsob informovania, napríklad zverejnenie.
3. Účinnosťou Nariadenia GDPR budú prevádzkovatelia povinní šifrovať ukladané dáta na počítačoch.
Komentár:
Nie.
Nariadenie GDPR uvádza možnosť šifrovania ako jedno z možných bezpečnostných opatrení.
GDPR neuvádza povinnosť šifrovania dát v súvislosti s ukladaním dát.
Zato už súčasná vyhláška č. 164/2013 Z. z. (v znení vyhlášky č. 117/2014) uvádza šifrovanie medzi technickými opatreniami. Z kontextu je zrejmé, že prevádzkovateľ je už teraz povinný chrániť osobné údaje šifrovaním pri ich prenose prostredníctvom verejných sietí.
4. Účinnosťou Nariadenia GDPR budú všetci prevádzkovatelia povinní umožniť dotknutým osobám prenos osobných údajov k iným prevádzkovateľom.
Komentár:
Nie.
Nariadenie GDPR určuje, že prevádzkovatelia povinní umožniť dotknutým osobám prenos osobných údajov
- ak ide o spracúvanie na základe súhlasu dotknutej osoby alebo
- ak ide o spracúvanie osobných údajov pre potrebu plnenia zmluvy, v ktorej je dotknutá osoba zmluvnou stranou.
Predmetné ustanovenie sa nevzťahuje na spracúvanie osobných údajov na základe osobitných zákonov.
5. Nariadením GDPR sa zavádzajú nové pravidlá na evidenciu a prácu s osobnými údajmi zamestnancov a externých spolupracovníkov.
Komentár:
Nie.
Nariadenie GDPR nemení právne základy ani procesy spracúvania osobných údajov zamestnancov a osôb v obdobnom vzťahu.
Nariadenie GDPR určuje náležitosti zmlúv s externistami, ktorí spracúvajú osobné údaje ako dodávatelia, len s minimálnymi zmenami oproti úprave v ustanovení § 8 zákona č. 122/2013 Z. z. v znení zákona č. 84/2014 Z. z.
6. Nariadením GDPR sa zavádzajú nové pravidlá na evidenciu a prácu s osobnými údajmi občanov a ich overovania.
Komentár:
Nie.
Nariadenie GDPR nemení právne základy ani procesy spracúvania osobných údajov občanov pri ich spracúvaní na základe osobitných zákonov, ktoré určujú práva a povinnosti štátnych a samosprávnych orgánov pri spracúvaní osobných údajov.
Autor článku
Ing. Ľ. Janoška
Služby pre prevádzkovateľov informačných systémov
Fair Mind s. r. o.
Naposledy upravil Ing. Ľubomír Janoška : 22.09.17 at 06:43