1.1 Predchodcovia súčasného nariadenia GDPR

1.2 Súčasnosť v oblasti ochrany osobných údajov

GDPR, nariadenie Európskej únie platné od 25. mája 2018, priamo stanovuje záväzné pravidlá pre spracúvanie osobných údajov v EÚ, čím zabezpečuje jednotnú úroveň ochrany a uľahčuje medzinárodný pohyb informácií. Cieľom GDPR je posilniť kontrolu jednotlivcov nad ich osobnými údajmi a odstrániť prekážky v rámci EÚ, pričom toto nariadenie má vyššiu právnu silu ako národné legislatívy členských štátov.

1.2.1 Povinnosti a zodpovednosti prevádzkovateľa

Článok 24 GDPR stanovuje, že prevádzkovateľ je zodpovedný za prijatie primeraných technických a organizačných opatrení na zabezpečenie ochrany osobných údajov, pričom musí zohľadniť kontext a riziká spojené so spracúvaním. Prevádzkovateľ je povinný identifikovať a minimalizovať riziká spojené so spracúvaním osobných údajov, pričom tieto opatrenia by mali byť schválené v súlade s kódexmi správania alebo pokynmi zodpovednej osoby. Základným cieľom prevádzkovateľa je zabezpečiť bezpečnosť spracúvania údajov a predchádzať ich spracúvaniu v rozpore s GDPR.

1.2.2 Sprostredkovatelia

Prevádzkovateľ môže poveriť spracúvaním osobných údajov sprostredkovateľa, s ktorým musí uzatvoriť zmluvu a preveriť jeho záruky, najmä z hľadiska spoľahlivosti a odborných znalostí. Sprostredkovateľ musí zabezpečiť súlad spracúvania s GDPR, pomáhať prevádzkovateľovi s posúdením vplyvu na ochranu údajov a dodržiavať zásady bezpečnosti, ako je izolovanosť údajov. Prevádzkovateľ aj sprostredkovateľ sú povinní nahradiť škodu dotknutej osobe, ak vznikla v dôsledku spracúvania údajov v rozpore s nariadením, pričom sprostredkovateľ musí preukázať dostatočné záruky, napríklad certifikátmi ISO 27001 alebo ISO 27018. Prevádzkovateľovi sa odporúča zdokumentovať preverenie záruk sprostredkovateľa pre prípad kontroly. 

1.2.3 Zodpovedná osoba

Zodpovedná osoba, menovaná prevádzkovateľom alebo sprostredkovateľom, dohliada na dodržiavanie GDPR, poskytuje poradenstvo a spolupracuje s dozorným úradom. Povinnosť určiť zodpovednú osobu sa vzťahuje len na určité subjekty, ako sú verejné orgány alebo podniky spracúvajúce osobné údaje vo veľkom rozsahu, ako stanovuje nariadenie GDPR.

1.3 Bezpečnosť spracúvania osobných údajov

Prevádzkovatelia a sprostredkovatelia sú zodpovední za zabezpečenie bezpečnosti osobných údajov, pričom musia zohľadniť rozsah, povahu a riziká spracúvania. Na zabezpečenie bezpečnosti je potrebné posúdiť riziká a prijať opatrenia na ich zmiernenie, pričom sa dbá na:

- dôvernosť, 

- celistvosť a 

- dostupnosť údajov. 

Základné zásady informačnej bezpečnosti zahŕňajú technické a organizačné opatrenia, ktoré chránia údaje pred neoprávnenými udalosťami. GDPR vyžaduje implementáciu týchto zásad, pričom pseudonymizácia a šifrovanie sú príklady opatrení, a ponecháva na prevádzkovateľoch, aby si zvolili vhodné postupy.

1.3.1 Riziká

Prevádzkovatelia a sprostredkovatelia sú povinní zabezpečiť ochranu osobných údajov pred rizikami, ktoré môžu narušiť informačné systémy, pričom riziko definované ako pravdepodobnosť zneužitia zraniteľnosti systému, vyžaduje identifikáciu hrozieb, prijatie bezpečnostných opatrení a dokumentáciu v bezpečnostnom projekte, aby sa predišlo bezpečnostným incidentom a negatívnym dopadom na podnikanie a reputáciu. 

1.4 Technické a organizačné opatrenia

1.4.1 Technické opatrenia

1.4.2 Organizačné opatrenia

1.5 Posúdenie vplyvu a ochranu osobných údajov (DPIA)

1.6 Aktualizácia zavedených opatrení

Prijatím opatrení nekončí pre prevádzkovateľa alebo sprostredkovateľa jeho práca, je potrebné aby sa následne zaviedol proces pravidelného testovania, posudzovania a hodnotenia účinnosti prijatých technických a organizačných opatrení. 

1.6.1 PDCA cyklus

PDCA sa delí na štyri časti cyklu:

• Plan – Plánuj
• Do – Vykonaj
• Check – Kontroluj
• Act – Zlepšuj