Povinnosť určiť účel a prostriedky spracúvania prevádzkovateľom obdobne ako v zákone;
Nová právna úprava upravuje vzájomný vzťah spoločných prevádzkovateľov (ak nie je
upravený v osobitnom právnom predpise) podľa čl. 26 nariadenia, a to tak, že im stanovuje:
- povinnosť uzatvorenia ich vzájomnej dohody;
- transparentné určenie príslušných zodpovednostných vzťahov voči spracúvaniu
osobných údajov a za plnenie povinností v nariadení a v novom zákone stanovených
(dôraz na práva dotknutej osoby, plnenie informačnej povinnosti);
- odporúčanie na určenie kontaktného miesta jedného prevádzkovateľa pre dotknuté
osoby (tým nie je dotknuté právo dotknutej osoby na uplatnenie si jej práv u každého a
voči každému prevádzkovateľovi);
- povinnosť poskytnúť základné časti ich vzájomnej dohody dotknutým osobám;
Nová právna úprava v súvislosti s ustanovením sprostredkovateľa ustanovila nové obsahové
náležitosti zmluvy, ako:
- predmet a dobu spracúvania;
- povahu a účel spracúvania;
- typ osobných údajov;
- kategórie dotknutých osôb;
- povinnosti a práva prevádzkovateľa;
- oprávnenie spracúvať osobné údaje prevádzkovateľom len na základe
zdokumentovaných pokynov prevádzkovateľa; poučenie a povinnosť mlčanlivosti
oprávnených osôb aj zo strany sprostredkovateľa; povinnosť sprostredkovateľa
vykonať všetky opatrenia prijaté pri posúdení vplyvu na ochranu údajov a ďalších.
Prijatie primeraných záruk podľa zmluvy so sprostredkovateľom sa môže preukázať
prostredníctvom:
(i) dodržiavania schválených kódexov správania alebo
(ii) schválených certifikačných mechanizmov.
Podľa novej právnej úpravy prevádzkovateľ informuje dotknutú osobu o príjemcoch, a teda
o sprostredkovateľovi podľa čl. 13 a 14 nariadenia; úprava podľa § 8 ods. 6 a 7 zákona sa už
nebude aplikovať (informačná povinnosť prevádzkovateľa a sprostredkovateľa v súvislosti so
sprostredkovaním).
Nová právna úprava zakotvila prevádzkovateľom
povinnosť ustanoviť zodpovednú osobu vo
vybraných prípadoch, ak ide o orgány verejnej moci alebo verejnoprávne subjekty, s výnimkou
súdov pri výkone súdnej právomoci; v súvislosti s pravidelným a systematickým
monitorovaním vo veľkom rozsahu a v prípade, ak dochádza k spracúvaniu osobitnej kategórie
osobných údajov alebo osobných údajov týkajúcich sa viny za trestné činy a priestupky.
Skupina podnikov ako aj orgány verejnej moci alebo verejnoprávne subjekty si môžu určiť
jednu spoločnú zodpovednú osobu s ohľadom na dostupnosť, či organizačnú štruktúru
a veľkosť. Na základe uvedeného vzniká len pre určené prípady povinnosť niektorým
8
prevádzkovateľom a sprostredkovateľom (prevažne však tou zmenou bude zasiahnutá verejná
správa, t. j. orgány verejnej moci) určiť si obligatórne zodpovednú osobu. U ďalších
prevádzkovateľov a sprostredkovateľov ostáva určenie zodpovednej osoby dobrovoľné.
Zodpovednou osobou môže byť aj právnická osoba, a to aj spoločná externá, pokiaľ sa zaručí
identifikovanie jednej určenej osoby zodpovednej za spracúvanie osobných údajov
u konkrétneho prevádzkovateľa u tejto právnickej spoločnosti. Zodpovedná osoba síce musí
disponovať odbornými kvalitami v oblasti ochrany osobných údajov a spôsobilosťou plniť
úlohy zodpovednej osoby; odpadá povinnosť absolvovania skúšky na úrade, notifikačná
povinnosť voči úradu ostala zachovaná.
Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s plnením
týchto úloh nedostávala žiadne pokyny, nariadenie stanovilo princíp nezávislosti zodpovednej
osoby; ako aj možnosť dotknutej osoby sa priamo obrátiť na zodpovednú osobu (prevádzkovateľ
je povinný informovať na svojom webovom sídle informovať o zodpovednej osobe).
Zodpovedná
osoba podľa čl. 38 ods. 3 nariadenia má priamo podliehať najvyššiemu vedeniu
prevádzkovateľa alebo sprostredkovateľa, t.j. vedúci zamestnanec (táto podmienka nebude
platiť pre prevádzkovateľov alebo sprostredkovateľov vykonávajúcich spracúvanie osobných
údajov v rámci činností, ktoré nespadajú do pôsobnosti práva Európskej únie).
Naďalej ostáva potreba prijatia primeraných bezpečnostných opatrení podľa čl. 24 nariadenia
v nadväznosti na čl. 32 a nasl. nariadenia (obdoba § 19 a nasl. zákona).
Prevádzkovateľ by mal
byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad
spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených
opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva
a slobody fyzických osôb.
K bezpečnostným opatreniam môžeme zaradiť najmä prijatie primeraných technických, organizačných a personálnych bezpečnostných opatrení a záruk zo strany prevádzkovateľa ako aj sprostredkovateľa, ktoré zohľadňujú najmä:
- zásady spracúvania osobných údajov ako zákonnosť, spravodlivosť a transparentnosť; obmedzenie a kompatibilitu účelov spracúvania; minimalizáciu údajov, pseudonymizáciu alebo šifrovanie a minimalizáciu uchovávania údajov; správnosť údajov; integritu a dôvernosť, dostupnosť údajov;
- zásady nevyhnutnosti a primeranosti (vzťahuje sa aj na rozsah a množstvo spracúvaných osobných údajov, dobu uchovávania a prístup k týmto osobným údajom) spracúvania s ohľadom na účel spracovateľskej operácie;
- povahu, rozsah, kontext a účel spracovateľskej operácie;
- odolnosť a obnovu systémov spracúvania;
- poučenia oprávnených osôb;
- prijatie primeraných opatrení na bezodkladné zistenie, či došlo k porušeniu ochrany osobných údajov a na promptné informovanie dozorného orgánu a dotknutej osoby;
- prijatie primeraných opatrení, aby sa zabezpečila oprava alebo vymazanie nesprávnych údajov, či iný výkon práv dotknutej osoby;
- riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb (najmä náhodné alebo nezákonné zničenie osobných údajov, strata alebo zmena osobných údajov, zneužitie osobných údajov – neoprávnený prístup alebo neoprávnené poskytnutie; posúdenie rizík so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť rizika v súvislosti so spracúvaním, a na identifikáciu najlepších postupov na zmiernenie rizika).
Preukázanie súladu s nariadením, respektíve preukázanie prijatia týchto opatrení a záruk môže preukázať prostredníctvom:
(i) zavedenia primeraných politík ochrany osobných údajov zo strany prevádzkovateľa alebo
(ii) dodržiavaním schválených kódexov správania zo strany prevádzkovateľa a sprostredkovateľa alebo
(iii) dodržiavaním schválených certifikačných mechanizmov zo strany prevádzkovateľa a sprostredkovateľa.
V zmysle novej právnej úpravy
prevádzkovateľ už nemá povinnosť vypracovať bezpečnostný projekt podľa § 20 zákona; nová právna úprava zakotvila povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov podľa čl. 35 nariadenia, ktorý musí obsahovať aspoň:
- systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu ako právneho základu podľa čl. 6 ods. 1 písm. f) nariadenia, ktorý sleduje prevádzkovateľ;
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;
- posúdenie rizika pre práva a slobody dotknutých osôb vo vzťahu k rizikovým spracovateľským operáciám a
- opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka. Vykonané posúdenie vplyvu prevádzkovateľom je povinný prehodnocovať, a to aspoň vtedy ak došlo k zmene rizika.
Úrad v súčinnosti s ostatnými členskými štátmi Európskej únie vydá zoznam spracovateľských operácií, ktoré budú podliehať požiadavke na posúdenie vplyvu na ochranu osobných údajov; v zmysle čl. 35 nariadenia
sa posúdenie vplyvu na ochranu vyžaduje v prípadoch:
- systematického a rozsiahleho hodnotenia osobných aspektov týkajúcich sa fyzických osôb, ktoré je založené na automatizovanom spracúvaní vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa fyzickej osoby alebo s podobne závažným vplyvom na ňu; alebo
- spracúvania vo veľkom rozsahu osobitných kategórií údajov podľa článku 9 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10; alebo
- systematického monitorovania verejne prístupných miest vo veľkom rozsahu.
Výsledok posúdenia by sa mal zohľadniť pri stanovení primeraných opatrení, ktoré sa majú prijať s cieľom preukázať, že spracúvanie osobných údajov je v súlade s nariadením. Ak sa na základe posúdenia vplyvu na ochranu údajov ukáže, že spracovateľské operácie zahŕňajú vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť primeranými opatreniami, pokiaľ ide o najnovšie technológie a náklady na vykonanie opatrení, mala by sa pred spracúvaním uskutočniť konzultácia s úradom.
Prevádzkovateľ prípadne sprostredkovateľ je povinný požiadať úrad o predchádzajúcu konzultáciu:
- pred samotným spracúvaním osobných údajov dotknutej osoby;
- a len pri spracovateľských operáciách, pri ktorých je povinnosť posúdenia vplyvu ochrany podľa čl. 35 nariadenia a súčasne z tohto posúdenia vplyvu vyplynulo, že toto spracúvanie by viedlo k vysokému riziku v prípade, ak by prevádzkovateľ neprijal opatrenia na zmiernenie tohto rizika (dôvodom môže byť nedostatočné identifikovanie alebo zmiernenie rizika).
Úrad najneskôr do 8 týždňov od doručenia žiadosti (prípadne + 6 týždňov, v lehote informuje a uvedie dôvod) poskytne písomné poradenstvo (tým nie sú dotknuté oprávnenia úradu na výkon kontroly alebo uloženia nápravných opatrení).
Na účely preukázania súladu s nariadením by prevádzkovateľ aj sprostredkovateľ mali uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední podľa čl. 30 nariadenia.
Každý prevádzkovateľ a sprostredkovateľ by mal byť povinný spolupracovať s dozorným orgánom a na požiadanie mu poskytnúť tieto záznamy, aby mohli slúžiť na monitorovanie týchto spracovateľských operácií (navyše sa bude musieť uvádzať identifikácia zodpovednej osoby a predpokladané lehoty na vymazanie rôznych kategórii údajov; podľa nariadenia už nie je povinnosť uvádzať právny základ pre spracovateľskú operáciu – úrad vydá ele. formulár Záznam spracovateľských operácii, kde povinnosť uvádzať právny základ bude, a to ako opatrenie súladu prevádzkovateľa aj sprostredkovateľa s nariadením).
Nová právna úprava vedenia záznamov nahradí evidenčnú povinnosť podľa § 43 zákona; záznamy o spracovateľských operáciách je povinný viesť aj sprostredkovateľ, oproti evidenčnej povinnosti, ktorú mal podľa zákona len prevádzkovateľ.
S cieľom zohľadniť osobitnú situáciu mikropodnikov a malých a stredných podnikov (ďalej len „MSP“)
nariadenie obsahuje výnimku pre organizácie s menej ako 250 zamestnancami, pokiaľ ide o vedenie záznamov. Tieto podniky nebudú povinné viesť záznamy k tým spracovateľských operáciám, ktoré spĺňajú nižšie uvedené podmienky:
- nie je pravdepodobné, že spracúvanie povedie k riziku pre práva a slobody dotknutej osoby,
- spracúvanie je príležitostné,
- spracúvanie nezahŕňa osobitné kategórie údajov a
- spracúvanie nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
Podľa čl. 33 a čl. 34 nariadenia by mal prevádzkovateľ ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie prevádzkovateľ v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb (sprostredkovateľ má takúto povinnosť voči prevádzkovateľovi).
Ak nie je možné oznámenie podať do 72 hodín, malo by sa k neskôr urobenému oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
Prevádzkovateľ by mal bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, aby mohla prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, zmierniť potenciálne nepriaznivé dôsledky. Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné, a v úzkej spolupráci s dozorným orgánom v súlade s usmerneniami tohto alebo iného relevantného orgánu, napríklad orgánov presadzovania práva.
Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, avšak potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany osobných údajov môže opodstatniť aj dlhšiu lehotu na informovanie. V tejto súvislosti vzniká prevádzkovateľovi aj nová povinnosť dokumentovať prípady porušenia ochrany osobných údajov.
Je vhodné, aby
prevádzkovateľ si sám určil príslušný dozorný orgán, ktorému má podliehať a aby poskytol aj všetky dostupné informácie a dokumenty príslušnému dozornému orgánu, ktoré výber dozorného orgánu preukazujú. Vo všeobecnosti prevádzkovateľ podlieha dozornému orgánu v mieste, kde má hlavnú prevádzkareň alebo jedinú prevádzkareň (rozhoduje sa o spracúvaní osobných údajov, kde sa schvaľujú a implementujú rozhodnutia os pracúvaní osobných údajov; prípadne sídlo prevádzkovateľa).
Vo všeobecnosti platí, že vedúci dozorný orgán sprostredkovateľa sa odvodzuje od vedúceho dozorného orgánu prevádzkovateľa; prípadne dozorný orgán sprostredkovateľa môže mať status dotknutého dozorného orgánu podľa čl. 56 ods. 2 nariadenia; prípadne môže mať samotný sprostredkovateľ vedúci dozorný orgán bez ohľadu na dozorný orgán prevádzkovateľa. Určenie vedúceho dozorného orgánu má vplyv na nahlasovanie zodpovednej osoby; nahlasovanie porušenia ochrany osobných údajov; posúdenie vplyvu na ochranu osobných údajov a žiadostí o predchádzajúcu konzultáciu.