Európsky parlament prijal 27. apríla 2016 Všeobecné nariadenie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Používa sa preň skratka GDPR (General Data Protection Regulation).
Nariadenie začne platiť vo všetkých členských štátoch EÚ od 25. mája 2018.
Nestačí vypracovať nejakú dokumentáciu a odložiť ju do šuplíka, firmy by mali posúdiť riziká, vyhodnotiť najrizikovejšie operácie s údajmi a na tie prijať reálne a účinné opatrenia, samozrejme ich dodržiavanie a účinnosť pravidelne kontrolovať, vyhodnocovať a prípadne meniť.
Rozširuje sa definícia osobných údajov a právne základy ich spracúvania, bude potrebné prehodnotiť a nanovo posúdiť informačné systémy osobných údajov z pohľadu zásady minimalizácie, proporcionality a primeranosti.
Všetky organizácie z verejného sektora a prevádzkovatelia, ktorí spracúvajú osobné údaje veľkého počtu osôb, budú mať povinnosť vymenovať od 25. Mája 2018 Zodpovednú osobu (Data Protection Officer). V prípade spracúvania osobitnej kategórie osobných údajov vo veľkom rozsahu, bude potrebné posúdiť vplyv na ochranu osobných údajov, čo je v podstate analýza bezpečnostných rizík v informačnom systéme s dodatočným posúdením dosahu na práva dotknutých osôb. Nariadenie pre časť spoločností naďalej predpisuje viesť záznamy o spracovateľských činnostiach (evidenčné listy IS podľa súčasného zákona).
Úplnou novinkou je informačná povinnosť. V prípade bezpečnostného incidentu to prevádzkovateľ bude musieť oznámiť Úradu na ochranu osobných údajov do 72 hodín, odkedy sa o tom dozvedel.
Významne sa rozširujú povinnosti pre sprostredkovateľov, v podstate sú takmer totožné s povinnosťami prevádzkovateľov, čo je dosť podstatná zmena. Menia sa povinné náležitosti sprostredkovateľskej zmluvy, ako aj súhlasov dotknutých osôb so spracúvaním osobných údajov.
Za nedodržanie Nariadenia Vám hrozia vysoké sankcie. Môžete dostať pokutu až do výšky 20 mil. eur alebo 4 % z ročných tržieb Vašej spoločnosti!
Kontaktujte nás a dohodnite si nezáväznú konzultáciu.