GDPR – Bezpečnosť osobných údajov

Jednou z najdôležitejších tém, ktorú rieši nariadenie, je bezpečnosť osobných údajov. Každý prevádzkovateľ, ale aj sprostredkovateľ je povinný prijať primerané technické a organizačné opatrenia s cieľom zaistiť primeranú úroveň bezpečnosti a ochrany osobných údajov.

 

Opatrenia by mali zahŕňať hlavne:

■ spracovanie len tých osobných údajov, ktoré sú pre daný účel nutné (minimalizácia spracovania) a len na právnom základe;
■ pseudonymizáciu a šifrovanie osobných údajov;
■ schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
■ schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
■ proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

Pri vypracovaní, navrhovaní, výbere a používaní produktov, služieb a aplikácií, ktoré sú založené na spracúvaní osobných údajov alebo spracúvajú osobné údaje, by sa výrobcovia mali vyzvať, aby pri ich vypracovaní a navrhovaní zohľadnili právo na ochranu osobných údajov a najnovšie poznatky z informačnej bezpečnosti.

Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie osobných údajov pre práva a slobody dotknutých osôb. Preto je potrebné vypracovať kvalifikovanú rizikovú analýzu, ktorá poukáže na pravdepodobnosť a závažnosť rizika. Riziko by sa malo posudzovať na základe objektívneho posúdenia, ktorým sa určí, či spracovateľské operácie obsahujú (v závislosti od povahy, rozsahu, kontextu a účelov spracúvania) riziko alebo vysoké riziko.

Pri posudzovaní rizika v oblasti bezpečnosti osobných údajov by sa mali zohľadniť riziká spojené so spracúvaním osobných údajov, ako sú napríklad náhodné alebo nezákonné zničenie, strata, zmena, neoprávnené poskytnutie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim.

V prípade porušenia ochrany osobných údajov prevádzkovateľ bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín, po tom čo sa o tejto skutočnosti dozvedel, oznámi túto skutočnosť Úradu pre ochranu osobných údajov. Pokiaľ by toto porušenie malo za následok vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov aj dotknutej osobe.

Pozrite si:

Ochrana osobných údajov – pripravovaná novela podľa GDPR
GDPR – zákonnosť spracúvania
GDPR – zodpovedná osoba
GDPR – oprávnený záujem