GDPR. Čo to pre nás znamená?

24.máj 2018

Každý má právo na ochranu svojich osobných údajov, ktoré sa ho týkajú. Rýchlym technologickým rozvojom sa rozsah získavania i zdieľania osobných údajov výrazne zväčšil a firmy o klientoch zbierajú obrovské množstvo osobných údajov.

Európska únia prišla ešte v roku 2016 s nariadením GDPR (General Data Protection Regulation), ktoré nadobudne účinnosť k 25. 5. 2018. Jeho cieľom je zvýšiť úroveň ochrany osobných údajov a posilniť práva občanov Európskej únie v tejto oblasti. GDPR má obyvateľov Európskej únie chrániť pred zneužitím osobných údajov tak, že na akékoľvek spracovanie údajov musí dotknutá osoba dať firme výslovný súhlas.

Čo prináša GDPR?

GDPR reguluje zaobchádzanie s akýmikoľvek údajmi, ako sú napríklad informácie týkajúce sa duševného zdravia, genetiky, kultúrnej, ekonomickej a sociálnej situácie. Tradičný okruh osobných údajov, medzi ktoré patria meno, priezvisko, dátum narodenia, telefónne číslo alebo e-mail, bude týmto nariadením rozšírený o údaje technického charakteru, akými sú IP adresa alebo súbory cookies.

GDPR definuje podmienky, za ktorých môžu byť osobné údaje spracovávané a stanovuje na ich spracovanie množstvo pravidiel. Zatiaľ čo niektoré osobné údaje sa spracúvajú na základe zákona alebo v rámci plnenia zmluvných povinností, iné údaje získavajú firmy na základe súhlasu dotknutej osoby. Súhlas musí byť udelený jasne, zrozumiteľne a jednoznačne. Firmy musia dokázať, že im tento súhlas klient udelil. Či už v písomnej podobe, alebo tzv. double opt-in metóde, ide o verifikačný e-mail s odkazom na potvrdenie. GDPR sprísňuje aj možnosti spracúvania osobných údajov detí do 16 rokov, ku ktorému sa vyžaduje súhlas zákonného zástupcu.

Koho sa GDPR týka?

GDPR sa týka akejkoľvek firmy, ktorá prichádza do styku s klientom a vypýta si od neho údaje, ktorým sa dá osoba identifikovať. Toto nariadenie sa dotkne mnohých oblastí a to bankovníctva, poisťovníctva, retailového trhu, internetových obchodov, výroby a služieb, zdravotníctva alebo verejnej správy. Teda všetkých subjektov a oblastí, pri ktorých dochádza k spracovaniu osobných údajov.

Oznamovacia povinnosť firiem

Veľkou zmenou je aj oznamovacia povinnosť firiem. Ak dôjde k úniku osobných údajov, musí firma do 72 hodín nahlásiť tento incident príslušnému úradu. U nás je to Úrad na ochranu osobných údajov. Ten rozhoduje aj o pokutách. V prípade nedodržania GDPR, sa môže pokuta vyšplhať do výšky 20 mil. eur alebo do výšky 4 % svetového ročného obratu spoločnosti.

Právo byť zabudnutý

GDPR obsahuje aj právo byť zabudnutý. To znamená, že osobné údaje klienta musí firma vymazať, keď zanikne dôvod, pre ktorý si ich vyžiadala. Napríklad pri zmene poisťovne klientom, tá pôvodná sa musí postarať o to, aby v jej systémoch údaje o ňom už nefigurovali. Zároveň firmy nesmú meniť spôsob využitia dát s ohľadom na účel, pre ktorý boli pôvodne zhromaždené. Pokiaľ takúto zmenu chcú urobiť, musia si pred týmto úkonom vyžiadať nový súhlas klienta.

Pozor, GDPR sa týka aj finančných či poistných sprostredkovateľov

V súlade s novým nariadením budú musieť pracovať aj sprostredkovatelia poistenia. Veľkú pozornosť bude potrebné venovať osobitnej kategórii osobných údajov a bude potrebné preskúmať, či takéto údaje spracúvajú. Týkať sa to bude aj finančných sprostredkovateľov, ktorí uzatvárajú zmluvy o životnom poistení. V ich prípade totiž dochádza k spracovávaniu údajov týkajúcich sa zdravotného stavu klientov. Ide o citlivé údaje a je potrebné im venovať zvýšenú pozornosť a poskytnúť im vyššiu ochranu.

Právo na spracovanie osobných údajov

Na účely vykonávania finančného sprostredkovania alebo finančného poradenstva sú finanční agenti oprávnení od klienta alebo jeho zástupcu požadovať poskytnutie osobných údajov. V rozsahu meno, priezvisko, trvalý pobyt, rodné číslo (ak mu bolo pridelené), dátum narodenia, štátna príslušnosť, druh a číslo dokladu totožnosti a podobne. Ak ide o fyzickú osobu, ktorá je podnikateľom aj adresu miesta podnikania a označenie registra, v ktorej je podnikajúca fyzická osoba zapísaná.

Ak je činnosť agenta v súlade s § 31 zákona č. 186/2009 o finančnom sprostredkovaní a finančnom poradenstve, výslovný súhlas so spracovávaním osobných údajov od dotknutej osoby nepotrebuje. Keď však chce agent spracovávať údaje s iným zámerom, tento súhlas už musí mať.

Prevádzkovateľ a sprostredkovateľ

Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky, ako sa budú spracúvať osobné údaje. Sprostredkovateľ je fyzická alebo právnická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa. Na základe tohto zákona je potrebné upraviť postavenie týchto sprostredkovateľov, ktorí spracúvajú údaje v mene prevádzkovateľa. V zákone sa uvádza, že sprostredkovatelia nesmú poveriť spracúvaním osobných údajov ďalších sprostredkovateľov bez osobitného písomného súhlasu prevádzkovateľa alebo jeho všeobecného písomného súhlasu. Sprostredkovateľ je povinný o tom vopred prevádzkovateľa informovať.

Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, v ktorom je ustanovený predmet a doba, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov dotknutých osôb. V tomto dokumente musí byť aj ustanovenie o tom, že sprostredkovateľ je povinný prevádzkovateľovi vrátiť údaje po ukončení dohodnutej činnosti.

Sprostredkovateľ poistenia môže byť podľa pravidiel GDPR takzvaným prevádzkovateľom aj sprostredkovateľom. Agent môže vystupovať v oboch pozíciách, závisí od toho, za akých okolností údaje spracováva.

Pomoc v rámci GDPR

Každý, kto spracúva osobné údaje, by mal už v predstihu zanalyzovať zaužívané postupy a používané dokumenty. Za týmto účelom sa odporúča dôsledná konzultácia a pomoc odborníkov, ktorí spracujú komplexný audit ochrany osobných údajov, navrhnú potrebné opatrenia a pomôžu s ich zapracovaním.

Téma GDPR je komplexná a v mnohých prípadoch spoločnosti potrebujú pomoc z externého prostredia. Naša spoločnosť BLUESIDE zabezpečí komplexný servis maklérskym spoločnostiam so zabezpečením služieb podľa GDPR, ako to vyžaduje nové nariadenie EÚ. Neváhajte nás kontaktovať. ♦

Zdroje: http://www.finreport.sk/financie/nariadenie-gdpr-sa-priamo-tyka-aj-agentov-povinnosti-je-vela/, https://gdprnamieru.sk/co-je-gdpr/, https://gdpr-2018.sk/portal-gdpr-2018/caste-otazky-k-gdpr

Zaujíma Vás viac informácií o možnostiach spolupráce? Napíšte nám.

blueside@blueside.sk