Ako na zmeny podľa GDPR
Ako sa na zmeny podľa GDPR - európskeho nariadenia č. 2016/679 v rámci SZTP pripraviť?
Aké zmeny prináša nové európske nariadenie o ochrane osobných údajov (GDPR) a na čo sa musia funkcionári v rámci SZTP pripraviť.
Čo je to GDPR?
GDPR (General Data Protection Regulation) je európske nariadenie zavádzajúce jednotné pravidlá v oblasti ochrany osobných údajov, ktoré od 25.5.2018 začali platiť vo všetkých členských štátoch EÚ. Keďže k spracúvaniu osobných údajov dochádza v najrôznejších životných situáciách (monitoring kamerovým systémom, vedenie mzdovej a personálnej agendy, vedenie evidencie o členoch organizácie, atď.), takmer každý funkcionár SZTP by mal uvedenému nariadeniu venovať patričnú pozornosť.
V SR platí nový zákon číslo 18/201/ Z. z. Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ktorým sa rozpracovalo nariadenie 2016/679 Európskej únie, ktorý platí od 01.01.2018 a je účinný od 25.5.2018.
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
Aj keď je nariadenie č. 2016/679 (GDPR) pomerne rozsiahle, medzi hlavné zmeny, ktoré nás aj v SZTP ovplyvnia najviac, môžeme zaradiť predovšetkým nasledujúce novinky:
Okruh osobných údajov sa podľa GDPR rozšíri o údaje technického charakteru
Tradičný okruh osobných údajov, medzi ktoré zaraďujeme napr. meno, priezvisko a adresu zákazníka, v určitých prípadoch tiež email či telefónne číslo, bude od 25.5.2018 rozšírený o ďalšie údaje technického charakteru, akými sú IP adresa, alebo súbory cookies, s ktorými sa stretávame pri využívaní technických prostriedkov, ako sú PC, tablety, alebo smartfóny aj v práci jednotlivých organizačných jednotiek SZTP.
Podľa GDPR sa sprísnia pravidlá pre udelenie a preukázanie súhlasu so spracovaním osobných údajov.
Zatiaľ čo niektoré osobné údaje sa spracúvajú na základe zákona alebo v rámci plnenia povinností, u nás vo zväze je takýmto príkladom slobodne vyjadrená vôľa vstúpiť do SZTP, a tým že záujemca vyplní členskú prihlášku, zo zákona dobrovoľne poskytuje svoje osobné údaje pre potrebu nášho zväzu. Toto je získanie osobných údajov na základe súhlasu dotknutej osoby zo zákona ktorý nevyžaduje žiadny ďalší súhlas. Takýto súhlas je podľa GDPR konkrétny, slobodný, informovaný a jednoznačný a organizačná jednotka SZTP vyplnenou prihláškou za člena je schopná kedykoľvek preukázať, že súhlas so spracovaním osobných údajov jej bol skutočne udelený.
Zároveň platí, že odvolanie súhlasu so spracovaním osobných údajov by malo byť rovnako jednoduché ako jeho získanie.
Podľa GDPR budú sprísnené podmienky pre spracúvanie osobných údajov osôb mladších ako 16 rokov-
V súvislosti s ponukou služieb informačnej spoločnosti (využívanie sociálnych sietí, registrácia na rôznych webových stránkach atď.) GDPR zavádza podmienku, že spracúvanie osobných údajov osoby mladšej ako 16 rokov na základe súhlasu je legálne len vtedy, ak k tomu udelil súhlas jej zákonný zástupca.
GDPR zavádza povinnosť ustanoviť tzv. zodpovednú osobu (DPO, Data Protection Officer)
Organizácie, ktoré systematicky, pravidelne a vo väčšom rozsahu spracovávajú osobné údaje dotknutých osôb, kde počtom členov patrí aj Slovenský zväz telesne postihnutých a jej organizačné zložky s právnou subjektivitou, musia podľa GDPR ustanoviť zodpovednú osobu, ktorá bude mať na starosti kontrolu postupov pri spracúvaní osobných údajov, poskytovanie informácií či spoluprácu s Úradom na ochranu osobných údajov. Zodpovednou osobou môže byť externý dodávateľ služieb ako i vlastný zamestnanec, avšak iba za splnenia prísnych (najmä kvalifikačných) podmienok.
GDPR zaviedla povinnosť nahlasovať bezpečnostné incidenty Úradu na ochranu osobných údajov ako i dotknutým osobám. ( Dotknutá osoba v prípade SZTP a jej organizačných jednotiek je spravidla člen SZTP )
Organizácie sú po novom povinní nahlásiť Úradu na ochranu osobných údajov každé podstatnejšie narušenie či únik osobných údajov, a to najneskôr do 72 hodín od zistenia takéhoto bezpečnostného incidentu. Ak by takýto únik či narušenie predstavovali vážne riziko pre práva dotknutých osôb, podnikateľ bude povinný kontaktovať aj samotné dotknuté osoby, ktorých údaje môžu byť ohrozené.
Dotknuté osoby majú právo informovať sa ako je zabezpečená ochrana ich osobných údajov
Dotknuté osoby máju právo na prístup k osobným údajom
Dotknuté osoby majú právo na prípadnú opravu osobných údajov
Dotknuté osoby majú právo na obmedzenie spracovávania osobných údajov
Dotknuté osoby majú podľa GDPR právo byť vymazané alebo úplne zabudnuté
V podmienkach SZTP sa tiež môže stať, že napríklad člen sa rozhodne ukončiť členstvo, môže požiada o výmaz svojich osobných údajov. Organizácia v tomto prípade je povinná takejto žiadosti vyhovieť.
Dotknuté osoby majú podľa GDPR právo na prenos svojich osobných údajov
Každá fyzická osoba, teda v podmienkach SZTP aj člen má právo na bezplatné získanie svojich osobných údajov, ktoré sama poskytla organizácii, a tieto údaje následne odovzdať inej organizácii, napríklad keď bude chcieť vstúpiť do inej organizácie mimo SZTP. Organizácia SZTP je v tomto prípade povinná požadované osobné údaje v štruktúrovanom, bežne používanom alebo v strojovo čitateľnom formáte (napr. XML alebo CSV) vydať a umožniť ich prenos za účelom ďalšieho použitia.
Konanie o ochrane osobných údajov
Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu tohto zákona alebo osobitného predpisu2) v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie tohto zákona alebo osobitného predpisu2) pre oblasť ochrany osobných údajov. Takéto konanie vedie Úrad na ochranu osobných údajov, ktorý postupuje v zmysle príslušných ustanovení zákona 18/2018 Z. z. – o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Ako zmeny podľa GDPR - európskeho nariadenia č. 2016/679 zvládnuť bez problémov ?
Prvým krokom každého subjektu, týka sa to aj SZTP ( ďalej zväz ) a jej organizačných zložiek s právnou subjektivitou ktorý spracúva osobné údaje, by mala byť dôkladná analýza používaných dokumentov (formulárov, zmlúv, podmienok ochrany osobných údajov atď.) a nastavenia vnútorných postupov
Organizačné jednotky zväzu, ktoré spracúvajú osobné údaje v akomkoľvek rozsahu, môžu na základe takejto analýzy včas odhaliť, že ich podmienky ochrany osobných údajov sú neaktuálne, alebo formulácia účelu spracúvania osobných údajov je nesprávna atď., pričom implementácia potrebných zmien im zaberie len niekoľko hodín.
V rámci prvotnej analýzy bude preto vždy záležať na tom, aké údaje, v akom rozsahu, akým spôsobom a za akým účelom tieto údaje v rámci zväzu, na každej úrovni spracovávame.
A podľa toho sa musíme rozhodnúť, či opatrenia, ktoré pri ochrane osobných údajov používame doteraz sú dostatočné, alebo musíme zaviesť nové, ktoré nám zaručia bezproblémovú ochranu osobných údajov, ktoré nám jednotliví členovia – t. j. dotknuté fyzické osoby, zverili.
Pre potreby SZTP spracoval: Imrich Trenčík