GDPR je Nariadenie EÚ č. 2016/679, ktoré zavádza jednotné pravidlá v oblasti ochrany osobných údajov pre všetky členské štáty EÚ. Jeho účinnosť je stanovená ku dňu 25.05.2018 (ďalej len ako „Nariadenie“) a vzťahuje sa aj na spoločnosti so sídlom mimo EÚ, pokiaľ sa zameriavajú aj na európskych spotrebiteľov. Právna úprava ochrany osobných údajov v Slovenskej republike v kontexte sekundárneho komunitárneho práva Európskej únie bude od 25. mája 2018 pozostávať z uvedeného Nariadenia, ktoré bude dopĺňať nový Zákon o ochrane osobných údajov z 29. Novembra 2017.
Na koho sa Nariadenie vzťahuje?
Nariadenie sa týka všetkých väčších i menších prevádzkovateľov (pozn.: subjekty predovšetkým podnikatelia, ktorí akýmkoľvek spôsobom spracúvajú osobné údaje fyzických osôb), ktorí spracúvajú osobné údaje o svojich klientoch alebo o svojich zamestnancoch, využívajú osobné údaje na marketingové účely, monitorujú správanie svojich zákazníkov, využívajú vo svojich priestoroch kamerový systém, prevádzkujú e-shop, vedú dochádzkový systém zamestnancov, vedú databázu svojich zákazníkov alebo uchádzačov o zamestnanie, majú osobné údaje uložené na serveroch a/ alebo ich posielajú po sieťach do dátových úložísk a/alebo využívajú rôzne aplikácie,…
Aké sú záväzné termíny?
Každý prevádzkovateľ je povinný zabezpečiť a uviesť do praxe opatrenia vyžadované Nariadením od 25. mája 2018 (vrátane), kedy Nariadenie nadobudne právoplatnosť. V prípade nedodržania niektorých povinností hrozia prevádzkovateľovi sankcie zo strany Úradu na ochranu osobných údajov až do výšky 20 mil. eur alebo ak ide o podnik- do výšky 4% z celkového svetového ročného obratu.
Osobné údaje
Nariadením sa rozšírila definícia osobných údajov aj o IP adresu a cookie, resp. nová definícia je širšia a všeobecnejšia a pod osobnými údajmi rozumie akékoľvek údaje dotknutej osoby, na základe ktorých je fyzická osoba identifikovaná alebo identifikovateľná, najmä na základe identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, online identifikátor alebo iné charakteristické znaky.
Súhlas dotknutej osoby a forma jeho poskytnutia
Právna úprava vyžaduje okrem doterajších požiadaviek na platnosť súhlasu dotknutej osoby, ktorej osobné údaje sa spracúvajú formu jednoznačného potvrdzujúceho úkonu. Mlčanie, vopred označené políčka na webovom sídle alebo nečinnosť by sa nemali považovať za súhlas dotknutej osoby.
Podmieňovanie poskytovaných služieb súhlasom je zakázané a takýto súhlas je neplatný. Napr. pri e-shope: ak poskytnutie údajov nie je nevyhnutné k zakúpeniu tovaru, tak neudelenie súhlasu na zasielanie marketingových mailov nemôže byť dôvodom odmietnutia samotného predaja produktu.
V prípade osoby mladej ako 16 rokov je po novom nutný aj súhlas alebo schválenie jej zákonného zástupcu. Od prevádzkovateľa sa vyžaduje si tento súhlas overiť.
Na každý účel spracúvania osobných údajov sa vyžaduje osobitný súhlas a nie je možné ich zlučovať v jednom dokumente. Každý dokument predstavuje osobitný právny základ, na základe ktorého môže dotknutá osoba svoj súhlas odvolať. Tieto tituly majú odlišnú dobu uchovávania a odlišné podmienky na odvolanie súhlasu. Napr. súhlas na účely zmluvy trvá po dobu trvania zmluvy, avšak súhlas na účely marketingových služieb je odvolateľný kedykoľvek. Kumulovanie oboch súhlasov iba v jednej zmluve sa nepovažuje za súhlas daný slobodne a z toho dôvodu je neplatný.
Pseudonymizácia
Nariadenie zavádza v oblasti GDPR nový pojem, ktorým je pseudonymizácia. Ide o zmenu identifikátorov (rod.č., meno a priezvisko, dátum nar., trvalý pobyt, atď) na nové označenie formou zakódovania, aby nebolo možné určiť konkrétnu osobu. Stále však existuje kľúč, na základe ktorého je možné údaje rozšifrovať.
Práva dotknutej osoby
Právna úprava rozširuje práva dotknutej osoby o právo na vymazanie (právo na zabudnutie) alebo právo na prenosnosť údajov.
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky. Fyzická osoba má právo takéto rozhodnutie napadnúť a prevádzkovateľ je v takom prípade povinný overiť rozhodnutia nie automatizovaným spôsobom.
Sumár základných povinností
Medzi základné povinnosti, ktoré prevádzkovateľom prinesie nová úprava GDPR môžeme zaradiť napríklad povinnosť prijať bezpečnostné pravidlá v podobe vnútorných smerníc, ohlasovacia povinnosť, prevenčná povinnosť, konzultačná povinnosť, v špecifických prípadoch povinnosť ustanoviť zodpovednú osobu a viesť záznamy o spracovateľských činnostiach, pre všetkých povinnosť zosúladiť s nariadením súhlasy dotknutej osoby dané pred 25.5.2018.
Povinnosť prijať technické a organizačné opatrenia
Nariadenie vypúšťa povinnosť vyhotoviť Bezpečnostný projekt, ale zavádza povinnosť prijať vhodné technické a organizačné opatrenia (najčastejšie vo forme interných smerníc), aby sa zabezpečilo spracúvanie iba osobných údajov, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania.
Záznamy o spracovateľských činnostiach
Nová úprava zavádza povinnosť prevádzkovateľa viesť záznamy o spracovateľských činnostiach. Záznamy sa povinne vedú v písomnej podobe vrátane elektronickej podoby, ktoré sa musia na žiadosť Úradu na ochranu osobných údajov sprístupniť.
Táto povinnosť sa netýka podnikov/ organizácií, ktoré zamestnávajú menej ako 250 osôb, ak nie je pravdepodobné, že spracúvanie, ktoré vykonávajú, povedie k riziku pre práva dotknutej osoby, je príležitostné alebo nezahŕňa určité kategórie údajov.
Oznamovacia povinnosť
Nariadenie vyžaduje v prípade porušenia ochrany osobných údajov od prevádzkovateľa povinnosť oznámiť toto porušenie Úradu na ochranu osobných údajov bez zbytočného odkladu najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedel.
V prípade, že porušenie ochrany predstavuje vysoké riziko pre práva a slobody fyzických osôb, je prevádzkovateľ povinný bezodkladne adresovať jednoduché a jasné oznámenie aj dotknutej osobe, aby si napr. zablokovala doklady, kreditné karty,…
Prevenčná povinnosť
Ak typ spracúvania osobných údajov môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaného spracúvania, predtým než začne so spracúvaním osobných údajov.
Konzultačná povinnosť
Ak je z posúdenia vplyvu zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný s Úradom na ochranu osobných údajov uskutočniť konzultáciu.
Zodpovedná osoba
Za splnenia zákonných podmienok vzniká prevádzkovateľovi povinnosť určiť zodpovednú osobu pre zabezpečenie bezpečnosti osobných údajov. Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo môže plniť úlohy na základe zmluvy, čiže pôjde o osobu z externého prostredia. Zodpovedná osoba už po novom nemusí absolvovať skúšky na Úrade na ochranu osobných údajov a určí sa podľa jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy podľa zákona a nariadenia.
GDPR (General Data Protection Regulation) (6,5MB .PDF)
Ilustračná fotografia: pexels.com