Spoločnosť SAFIRS, s. r. o. zabezpečuje komplexné služby na úseku ochrany osobných údajov a ochrany fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. V tejto oblasti Vám ponúkame nasledovné služby:
1. Služby v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov a podľa Nariadenia EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (GDPR) účinného od 25.5.2018, čo zahŕňa:
- posúdenie aktuálneho stavu spracúvania osobných údajov a jeho súlad s GDPR,
- analýzu informačných systémov, ktoré prevádzkovateľ používa,
- vymedzenie povinností prevádzkovateľa pri uplatňovaní práv dotknutej osoby,
- posúdenie vplyvu na ochranu osobných údajov,
- vypracovanie potrebnej dokumentácie (záznamy o spracovateľských činnostiach, poučenie oprávnených osôb, súhlas so spracovaním osobných údajov, oznámenie bezpečnostného incidentu, vypracovanie zmlúv so sprostredkovateľmi...).
2.Výkon funkcie externej zodpovednej osoby a vykonávanie školení oprávnených osôb, čo zahŕňa:
- poskytovanie odborného poradenstva a konzultácií týkajúce sa ochrany osobných údajov a GDPR,
- poskytovanie informácií a poradenstva prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
- monitorovanie súladu spracúvania osobných údajov so zákonom a nariadením, vrátane zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov - spolupracovanie s Úradom na ochranu osobných údajov.
GDPR
Dňa 25. 5. 2018 nadobudli účinnosť GDPR a zákon o OOÚ, t. j. od tohto dátumu je nutné postupovať už podľa nových právnych predpisov – Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – ďalej len „GDPR“) a Zákona o ochrane osobných údajov č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o OOÚ“) ruší zákon č. 122/2013 Z. z. o ochrane osobných údajov a harmonizuje slovenský právny poriadok s nariadením (GDPR).
Čo je potrebné urobiť:
1.aktualizovať dokumentáciu (záznamy o spracovateľských činnostiach, súhlas so spracúvaním osobných údajov, zmluvy so sprostredkovateľom, oznámenie bezpečnostných incidentova pod.),
2.ak by typ plánovaného spracúvania údajov mohol viesť k vysokému riziku pre práva fyzických osôb, je treba posúdiť vplyv na ochranu osobných údajov, čo zahŕňa:
- opis a určenie účelu spracovateľských operácií,
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
- posúdenie rizika pre práva dotknutej osoby,
- prijatie opatrení na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov,
3.prijať a zdokumentovať nové odporúčané bezpečnostné opatrenia, napr.šifrovanie, pseudonymizáciu, anonymizáciu osobných údajov a podobne,
4.určiť pravidlá pre splnenie tzv. oznamovacej povinnosti – ak prevádzkovateľ poruší pravidlá ochrany osobných údajov napr. tým, že neoprávnene zverejní osobné údaje, alebo ich získa neoprávnená osoba, je povinný toto oznámiť Úradu na ochranu osobných údajov do 72 hodín po tom, ako sa o tom dozvedel,
5.stanoviť vnútorné pravidlá pre uplatnenie práv dotknutých osôb, napríklad:
- právo na opravu nesprávnych osobných údajov,
- právo na výmaz – právo na zabudnutie osobných údajov,
- právo na obmedzenie spracúvania osobných údajov,
- právo na prenosnosť údajov ďalšiemu prevádzkovateľovi,
- právo namietať automatizované individuálne rozhodovanie a profilovanie,
6.určiť zodpovednú osobu, ak:
- spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia (všetky orgány verejnej správy, štátne úrady, obce, školy a verejnoprávne inštitúcie poskytujúce verejné služby…),
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu (bankové inštitúcie a poisťovne, e-shopy, bezpečnostné služby, firmy, ktoré pravidelne a systematicky monitorujú osoby vo veľkom rozsahu spracúvajú údaje o zákazníkoch prostredníctvom napr. kamerovým systémom v nákupných centrách, aplikáciami, ktoré vyhodnocujú správanie sa klienta na internete za účelom cielenej reklamy, profilovaniea pod.) alebo,
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku vo veľkom rozsahu (zdravotnícke zariadenia a firmy, ktorých hlavnou činnosťou je rozsiahle spracúvanie biometrických údajov, genetických údajov, údajov o rasovom alebo etnickom pôvode, údajov o politických názoroch, údajov týkajúcich sa zdravia alebo sexuálneho života).
Úrad na ochranu osobných údajov môže uložiť pokutu až do výšky 20 miliónov EUR, alebo ak ide o podnik do 4 % celkového svetového ročného obratu tomu, kto napríklad nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov, vrátane podmienok súhlasu, alebo nesplnil alebo porušil niektoré z práv dotknutej osoby.