Nové nariadenie Európskej komisie – GDPR (General Data Protection Regulation) nie je iba rozsiahly zoznam povinností, ako pracovať s dátami. Je to aj príležitosť získať konkurenčnú výhodu a dôveru zákazníkov. Preto vám, spolu s odborníčkou Stanislavou Pšenák, Data Privacy Consultant, prinášame seriál, čo nariadenie pre zadávateľov a jednotlivé agentúry znamená, aké povinnosti z neho vyplývajú.
Všetko potrebné sa dozviete postupne, v jednotlivých vydania magazínu. Napríklad aj to, ako môže firma implementovať GDPR vlastnými silami. Z prvého dielu seriálu vyberáme základné zásady spracúvania osobných údajov.
GDPR - GENERAL DATA PROTECTION REGULATION
General Data Protection Regulation (GDPR) bude od 25. mája 2018 priamo stanovovať pravidlá pre spracúvanie osobných údajov (OÚ) aj práva dotknutých osôb v EÚ (vrátane Islandu, Nórska, Lichtenštajnska) a ich vymožiteľnosť. Rozširuje rozsah európskej legislatívy, ktorá sa bude vzťahovať na spracúvanie OÚ spracúvateľmi so sídlom v EÚ, aj keď k spracúvaniu dochádza mimo územia EÚ. Zároveň tiež na fyzické osoby, ktoré sa nachádzajú v EÚ, ale spracúvateľ, ktorý spracúva OÚ, sídlo v EÚ nemá. Pracovná skupina pre ochranu osobných údajov WP29 (ďalej len OOÚ) slúži ako nezávislý poradný orgán Európskej komisie, ktorý vydáva stanoviská k implementácii GDPR. Dostupné sú na webovom sídle Úradu pre ochranu osobných údajov SR (ďalej len ÚOOÚ). GDPR je sprevádzané ďalšími regulačnými opatreniami EÚ, najmä v oblasti platobných služieb, tzv. PSD2, alebo nariadením o e-privacy. Z tejto ďalšej legislatívy EÚ vyplývajú ďalšie konkrétne povinnosti pre dotknuté subjekty, pretože tieto regulačné opatrenia a GDPR sa dopĺňajú.
ZÁKLADNÉ ZÁSADY SPRACÚVANIA OÚ
Sú zhrnuté v čl. 5 GDPR. Sú to základné pravidlá, od ktorých sa odvíjajú všetky procesy spracúvania OÚ. Slúžia na určenie toho, ako môže spracúvateľ s OÚ narábať.
Zásada zákonnosti – spracúvať OÚ možno len na základe právneho titulu a spracúvanie nesmie byť v rozpore so zákonom. Najviac sa táto zásada prejavuje v čl. 6 a čl. 9 GDPR.
Zásada obmedzenia účelu – zakazuje sa, aby spracúvateľ spracúval OÚ s iným cieľom, než s akým boli získané a zhromaždené. Výnimkou je tzv. ďalšie spracúvanie.
Zásada minimalizácie údajov – OÚ musia byť primerané a relevantné vo vzťahu k účelu, pre ktorý sú spracúvané.
Zásada správnosti – OÚ musia byť správne a podľa možností aktuálne. Musia byť prijaté primerané opatrenia, aby spracúvateľ nesprávne údaje opravil alebo vymazal.
Zásada obmedzenia uchovávania – OÚ by mali byť uložené vo forme, ktorá umožňuje identifikáciu dotknutej osoby len počas nevyhnutného obdobia pre dané účely, pre ktoré sú spracúvané.
Zásada integrity a dôvernosti – určuje základné povinnosti pre technické a organizačné zabezpečenie OÚ spracúvateľom pri spracúvaní tak, aby bola zaistená integrita a dôvernosť.