Zodpovedná osoba, úradník pre ochranu údajov

Jednou z hlavných noviniek, ktoré prináša GDPR, je povinnosť určených subjektov určiť zodpovednú osobu alebo úradníka pre ochranu údajov (úradník pre ochranu údajov DPO), ktorý bude dohliadať na procesy súvisiace s ochranou osobných údajov. Bude zárukou zákonnosti postupov a súčasne bude kontaktovať Úrad pre ochranu osobných údajov.

Zodpovedná osoba môže byť zamestnancom operátora alebo externým špecialistom, fyzickou alebo právnickou osobou (špecialistami, špecializovanými spoločnosťami, advokátskymi kanceláriami), ktorý bude vykonávať úlohy zodpovednej osoby na základe zmluvy o poskytovaní služieb. Správa veľkých spoločností spočíva v tom, že skupina spoločností (materská spoločnosť s dcérskymi spoločnosťami) môže mať jednu zodpovednú osobu, ale musí spĺňať požiadavku ľahkej dostupnosti v rámci jednotlivých podnikov.

Povinnosť zabezpečiť zodpovednú osobu sa vzťahuje na:

verejné orgány (ministerstvá, úrady atď.) a verejné orgány (obce, školy, nemocnice atď.) s výnimkou súdov pri výkone ich právomocí,

prevádzkovatelia a sprostredkovatelia, ktorých hlavnou činnosťou sú operácie spracovávania, ktoré vzhľadom na svoju povahu, rozsah a účely vyžadujú vo veľkej miere pravidelné a systematické monitorovanie dotknutých osôb,

prevádzkovatelia a sprostredkovatelia, ktorých hlavnou činnosťou je spracovanie veľkých kategórií údajov vo veľkom rozsahu alebo spracovanie osobných údajov týkajúcich sa uznania viny za trestné činy a trestné činy,

prevádzkovateľov, ako je stanovené v osobitnom právnom predpise.

Malé podniky a zodpovedná osoba

Ako sa malý podnik musí pripraviť na GDPR?

Existuje niekoľko jasných krokov na zosúladenie interných procesov a postupov s pravidlami ochrany údajov.

Uveďte, aké osobné údaje máte – odkiaľ pochádzajú, s kým ich zdieľate s tým, na čo ste ich zhromaždili a či sú stále relevantné a potrebné na účely, ktoré ste si vybrali.

Uistite sa, že môžete splniť požiadavky na údaje občanovv rámci GDPR môžu občania EÚ požiadať, aby ste ich odstránili, zmenili alebo presunuli do inej organizácie. Vaše procesy a technológia musia umožniť splnenie týchto požiadaviek do jedného mesiaca.

Vytvorenie zákonného podkladu pre spracovanie údajov v rámci GDPR. Opt-out boxy už nie sú dosť dobré. Namiesto toho musíte vytvoriť zákonný podklad na spracovanie údajov občana. Ak je to súhlas, musí to byť opt-in, občan udelí súhlas na to, aby ich údaje boli spracované počas obmedzeného časového obdobia na úzko definovaný účel. Súhlas môže byť stiahnutý, takže je rozumné zvážiť, aký iný zákonný základ môžete použiť na spracovanie údajov.

Pripravte sa na narušenie údajov – zabezpečte, aby vaše procesy umožnili informovať orgán na ochranu údajov o narušení údajov do 72 hodín od jeho zistenia.

Zvoliť úradníka pre ochranu údajov – ako je uvedené vyššie, úradník pre ochranu údajov je dôležitou súčasťou GDPR pre podniky vykonávajúce rozsiahle spracovanie údajov.

Aké pokuty musím zaplatiť za to, že som pochybil?

gdpr 9

Pokuty, ktoré môžu byť uložené v rámci GDPR, sú potenciálne obrovské. Organizácie čelia pokutám vo výške až 2% svojho ročného obratu alebo 10 miliónov EUR, podľa toho, ktorá hodnota je vyššia, za porušenie kódexu GDPR. Pri skutočných porušeniach osobných údajov ľudí, môžu vzrásť na 4% obratu firmy alebo 20 miliónov EUR.

Ktorá pokuta je vyššia” je kľúčovou frázou pre malé a stredné podniky, ktoré by mohli byť finančne zničené narušením údajov, čo znamená, že riziká sú rovnako veľké, ak nie väčšie ako pre nadnárodný podnik, ktorý by mohol absorbovať pokutu v ďalšom finančnom štvrťroku bez prílišného vplyvu na cenu akcií.

Tieto pokuty však musia byť aj proporcionálne”, čo znamená, že ak dokážete (s rozsiahlou evidenciou a dokumentáciou), že vaše politiky a rámec riadenia sú určené na dodržiavanie GDPR, bolo by nepravdepodobné, že by vám uložili drsnú pokutu.

Ak však nemôžete preukázať, že ste vynaložili nejaké úsilie na dodržanie GDPR, a vyzeráte to tak, že ignorujete zákon, pravdepodobne vám bude udelená vyššia pokuta.

Brexit a zodpovedná osoba

Pravidlá uložené v GDPR sa vzťahujú na všetkých občanov členského štátu EÚ, no Spojené kráľovstvo nemusí byť v EÚ. Okrem toho, čoskoro prichádzajú prvé narodeniny GDPR. Je dôležité pochopiť, že GDPR nie je samo o sebe zákonom.

GDPR je európska smernica, ktorá znamená, že predstavuje súbor pravidiel a akonáhle sú schválené všetkými členskými štátmi, tieto štáty musia navrhnúť vnútroštátne zákony, v ktorých musia byť pravidlá predložené touto smernicou uložené iba občanom tejto krajiny.

Nadnárodné podniky môžu čeliť určitému problému, pokiaľ ide o prenos údajov medzi regiónmi. Podľa GDPR môžu byť osobné údaje zdieľané medzi členskými štátmi Európskeho hospodárskeho priestoru , ale tie isté informácie nemožno preniesť do “tretích krajín” mimo EHP, pokiaľ sa v uvedených “tretích krajinách” nepovažujú príslušné zákony na ochranu údajov za povolené. Je to problém, pretože existuje neistota, ktorá spočíva v období, ktoré nasleduje po ukončení britského odchodu z tohto bloku.

Ak UK opustí EÚ, stane sa jednou z tých tretích krajín”, na ktoré nemožno údaje preniesť zo štátu EHP, a naopak. Rovnako ako všetko okolo Brexitu v posledných mesiacoch, nič nie je isté. Bude Spojené kráľovstvo nasledovať podmienky GDPR EÚ?

Zatiaľ čo Spojené kráľovstvo sa odstráni z právneho rámca EÚ, bude naďalej podliehať GDPR. Nateraz. Nie je však známe, aký bude konečný vzťah medzi Spojeným kráľovstvom a EÚ. Podľa samotných nariadení je prenos osobných údajov do krajiny, ktorá nie je členom EÚ, zakázaný, pokiaľ táto krajina nemá “primeranú úroveň ochrany údajov”. Spojené kráľovstvo môže zaistiť, že splní túto “primeranú úroveň” zachovaním pravidiel GDPR.

Kamery a zodpovedná osoba

Prevádzkovateľ kamerového systému by mal disponovať výslovným súhlasom od každého človeka, ktorý bude monitorovaním zachytený. Ďalší odborníci sa domnievajú, že podobný prístup nebude nutný.

Množstvo firiem komponuje GDPR do firemných počítačov a firemných sietí. Stáva sa, že zabudnú aj na ďalšie oblasti, kde je GDPR nutná. Patria tu kamerové systémy.

Podľa zákona o GDPR je nutné, aby ľudia, ktorí sa pohybujú v monitorovanom priestore, boli o snímaní informovaní. Objavujú sa však aj vyjadrenia, že človek by mal udeliť písomný súhlas so monitorovaním.

Je potrebné vybalansovať záujem zamestnávateľa na stráženie budovy a majetku s právom zamestnancov na ich súkromie. Podľa právnikov budú pre firmy pravidlá voľnejšie, než by sa zdalo.

Osobné údaje sa môžu legálne spracovávať nielen so súhlasom jednotlivca, ale aj bez jeho súhlasu, ale len za istých podmienok.

Záleží na forme, akou sú ľudia o kamerovom systéme a spracovaní GDPR informovaní. Pri transparentnosti údajov ide predovšetkým o zrozumiteľné informovanie subjektov o spracovaní údajov. V tomto prípade je dôležité, aby sa informácie o monitorovaní daného objektu vyskytovali na viditeľných miestach.

GDPR sa dotýka aj rozsahu poskytovaných informácií. Bude nevyhnutné uvádzať kontakt na prevádzkovateľa daného systému, účel spracovania, skupinu dotknutých osobných údajov a ich príjemcu. Ak to bude nevyhnutné, z účelu transparentnosti spracovanie údajov, by mala byť uvedená doba uloženia osobných údajov, oprávnený záujem správcu alebo tretích strán.

Podľa aktuálneho zákona o GDPR platí, že ruka v ruke so súhlasom jednotlivca je možné aj bez jeho súhlasu spracovávať osobné údaje z kamerových systémov v prípade, “ak je to nevyhnutné na ochranu práv a právom chránených záujmov správcu, príjemca alebo inej dotknutej osoby; takéto spracovanie osobných údajov však nesmie byť v rozpore s právom jednotlivca na ochranu jeho súkromného a osobného života“.