Časté otázky
Na tejto podstránke vám zodpovieme otázky, ktoré sú najbežnejšie a zaujímajú najviac ľudí.
GDPR sa vzťahuje na všetky fyzické alebo právnické osoby, orgány verejnej moci, agentúry alebo iné subjekty, ktoré zhromažďujú alebo spracúvajú osobné údaje. Veľkosť subjektu tu nehrá žiadnu úlohu.
Technické opatrenia by sa mali prijímať s prihliadnutím na povahu, rozsah, kontext a účely spracovania údajov a mali by zahŕňať rôzne riziká v súvislosti s právom a slobody fyzických osôb. Možno preto povedať, že veľká časť menších podnikov nebude musieť zaviesť špeciálny SW a HW, ak tie používané zodpovedajú bežným štandardom zabezpečenia. Užívaný softvér by mal ideálne pochádzať od spoľahlivého dodávateľa, ktorý garantuje súlad s GDPR.
To závisí od veľkosti dotknutej organizácie a komplexnosti jej agendy. Príprava malých podnikov nemusí byť príliš náročná. U veľkých korporácií môže ísť o dlhotrvajúci a náročný proces. Dôležitým faktorom je aj rozhodnutie samotnej organizácie, do akej miery a s akou dôslednosťou chce GDPR implementovať.
Áno. Treba si však uvedomiť, že implementácia GDPR nie je možná bez súčinnosti spracovateľa dát, ktorý si ju objednal. Pokiaľ objednávateľ potrebnú súčinnosť neposkytne, úspešná implementácia nie je možná.
Rovnako ako trvanie prípravy na zavedenie GDPR, aj cena závisí od veľkosti spracúvajúcej organizácie a komplexnosti jej agendy.
Treba rozlišovať dohľad v rámci organizácie a dohľad externý. Externú kontrolu vykonáva Úrad pre ochranu osobných údajov. Za internú kontrolu zodpovedá predovšetkým organizácia sama, pričom v niektorých prípadoch je povinná ustanoviť tzv. zodpovednú osobu Konečnú zodpovednosť však vždy nesie organizácia sama.
Pokiaľ ide o organizácie a firmy, ktoré porušujú zákon, Úrad pre ochranu osobných údajov získava väčšie právomoci s cieľom ukladať veľmi závažné sankcie vrátane právomoci ukladať pokuty. Podľa nového zákona bude možné pokutovať organizácie až do výšky 20 miliónov EUR (alebo 4% celkového celosvetového obratu) za najzávažnejšie porušenia.
Voči kontrolným orgánom bude zodpovedať vždy len spracovateľ osobných údajov sám. Preniesť zodpovednosť na tretiu osobu nie je možné. Ak je však spracovateľovi uložená sankcia za nedostatnčnú implementáciu GDPR, môže sa obrátiť s nárokom na náhradu škody na osobu, ktorú implementáciou GPDR poveril (ak tak urobil).
Úlohy úradu sú podobné ako doteraz. Registrácia nie je potrebná, v niektorých prípadoch však GDPR ukladá povinnosť konzultovať zamýšľané spracúvanie osobných údajov.
Podľa nášho názoru áno.
Zatiaľ nie.
Žiadny takýto zoznam neexistuje. Pri výbere dodávateľa sú preto organizácie, ktoré majú záujem o implementáciu GDPR ponechané zatiaľ na vlastný úsudok a referencie od iných organizácií.