GDPR Academy

Pokuta za porušenie zásady zákonnosti a transparentného informovania

Popis problému, ktorý vznikol

Grécky úrad na ochranu osobných údajov uložil telekomunikačnej spoločnosti pokutu vo výške 6000000 eur a nariadil zastavenie spracúvania osobných údajov a likvidáciu osobných údajov.

Prevádzkovateľ oznámil dozorujúcemu orgánu bezpečnostný incident, ktorý sa týkal úniku údajov uskutočnených hovorov. Vyšetrovaním sa zistilo, že prevádzkovateľ porušil zásady zákonnosti a transparentnosti, keď dotknutým osobám poskytoval nejasné a nedostatočné informácie o spracúvaní ich osobných údajov. Prevádzkovateľ taktiež nezabezpečil dostatočné posúdenie vplyvu na ochranu údajov a anonymizácii údajov.

Celý dokument si môžete prečítať na adrese: https://www.dpa.gr/el/enimerwtiko/prakseisArxis/epiboli-prostimoy-gia-peristatiko-parabiasis-prosopikon-dedomenon-kai-mi

Čo urobiť, aby ste sa neocitli v rovnakej situácii?

Poskytovanie jasných a zrozumiteľných informácií je jedna z dôležitých povinností všetkých firiem a organizácií, ktoré spracúvajú osobné údaje. Ide o plnenie čl. 13 všeobecného nariadenia a čl. 14. Jasnosť a zrozumiteľnosť spočíva napríklad v tom, že dotknutej osobe nestačí oznámiť, že jej osobné údaje budú využité pre marketingové účely. Z takto formulovaného dôvodu spracúvania dotknutej osobe nebude jasné, či jej údaje budú využité pre zasielanie newslettra, súťaž či inú, predaj podporujúcu aktivitu. Preto je potrebné, aby ste každý účel spracúvania definovali čo najkonkrétnejšie a zrozumiteľne o ňom informovali aj dotknutú osobu.

Pri vzniku bezpečnostného incidentu vždy vyhodnoťte, či jeho vznikom existuje riziko pre práva a slobody dotknutých osôb. Ak áno, je potrebné ho oznámiť úradu, prípadne aj dotknutým osobám. Každý incident si zdokumentujte.

Posúdenie vplyvu je povinnosť, ktorá sa vzťahuje na takú spracovateľskú operáciu, ktorá pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Nemusíte monitorovať telefonické hovory, ako v prešetrovanom prípade, ale napríklad ak uvažujete, že zavediete kamerový systém, ktorým budete kontrolovať aj dodržiavanie pracovnej disciplínu, určite si posúdenie vplyvu zdokumentujte. 

Kde v GDRP Academy nájdete jednoduché vysvetlenie, ako to urobiť?

O tom, ako dotknuté osoby informovať sa dozviete v 6 lekcii online kurzu GDPR pre firmy a organizácie. Okrem toho sa v kurze naučíte, čo je to bezpečnostný incident a ako ho vyhodnocovať.

Samostatnú bezpečnostnú smernicu pre riadenie bezpečnostných incidentov si môžete prevziať do svojho počítača, upraviť podľa návodu a začať používať v podmienkach vašej firmy.

Praktické otázky a ich riešenia, ktoré sa týkajú posúdenia vplyvu nájdete v databáze znalostí GDPR Academy. Stačí si vyhľadať napríklad slovné spojenie “posúdenie vplyvu”.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top