Dňa 25. 5. 2018 nadobúdlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním a zhromažďovaním osobných údajov, resp. s ich prenosom, zdieľaním a likvidáciou, tzv. GDPR. Je to nová legislatíva, prinášajúca zásadné posilnenie ochrany osobných údajov a množstvo nových povinností alebo zmeny existujúcich povinností pre všetkých správcov a spracovateľov osobných údajov.
GDPR sa dotkne v rôznej miere všetkých podnikajúcich subjektov. V tomto článku sa dozviete, čo je to GDPR, aké povinnosti pre Vás z GDPR vyplývajú a ako GDPR úspešne implementovať.
Spracovávate osobné údaje?
Osobné údaje spracovávate aj v prípadoch, kde by ste to možno nečakali, napr. keď:
- prevádzkujete web s on-line kontaktným formulárom
- rozosielate newsletter
- uvádzate skutočné mená alebo kontakty osôb na svojich stránkach
- prevádzkujete e-shop
- máte webové stránky s cookies
- máte aspoň jedného zamestnanca
- alebo len predávate tovar a služby klientom na základe faktúry a pod.
Prichádzate tak do kontaktu s osobnými údajmi a máte povinnosť tieto dáta chrániť pred únikom a zodpovedáte za ich zabezpečenie.
GDPR
GDPR jednoducho povedané určuje pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov. Presnejšie sa jedná o Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. Úplné znenie zákona si môžete prečítať tu: https://eur-lex.europa.eu.
Spracúvanie osobných údajov
Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
Úlohou smernice Európskeho parlamentu a Rady 95/46/ES je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovateľskými činnosťami a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.
Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces, a kultúrna, náboženská a jazyková rozmanitosť. (Zdroj: Úrad na ochranu osobných údajov)
Právo na ochranu údajov fyzických osôb
Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.
V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov. Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.
Povinnosti vyplývajúce z GDPR
Ak sa už riadite zákonom č. 101/2000 Zb. O ochrane osobných údajov, potom máte polovicu práce za sebou. Pretože GDPR ho upresňuje a dopĺňa v niektorých ďalších oblastiach.
Povinnosti, ktoré vyplývajú z GDPR:
- Informovať užívateľov/občanov o tom, prečo zbierate dáta, ako dlho ich budete uchovávať a kto ďalší sa k dátam dostane.
- Požiadať o jasný a slobodný súhlas pred tým, ako začnete dáta zbierať.
- Ak už dáta zbierate, musíte všetkých užívateľov opäť požiadať o súhlas so spracovaním ich údajov.
- Umožniť užívateľovi prístup k jeho dátam.
- Umožniť užívateľom požiadať o vymazanie ich dát.
- Upozorniť užívateľa, že došlo k úniku dát.
Ako by ste mali chrániť práva ľudí?
Ako by mala Vaša firma chrániť práva ľudí, ktorí jej poskytujú svoje osobné údaje?
- Komunikácia – Vysvetlite užívateľom, kto ste, keď ich žiadate o údaje. Komunikujte bežným jazykom.
- Súhlas – Vypýtajte si jednoznačný súhlas so spracovaním údajov. Pri spracovávaní údajov od detí kontrolujte vekový limit pre súhlas so zákonným zástupcom.
- Upozornenia – Informovanosť ľudí pri vystavení ich osobných údajov vážnemu riziku.
- Ochrana údajov – Používajte dostatočné zabezpečenie pri získavaní informácii ohľadne zdraví, rase, sexuálnej orientácií, náboženstve a politickom presvedčení.
- Vymazanie údajov – Dovoľte ľudom aby ich údaje boli vymazané a zabudnuté.
- Marketingové účely – Umožnite ľuďom nesúhlasiť s používaním ich údajov na marketingové účely.
- Vytváranie profilu – Ak spracovávate žiadosti o právne záväzné dohody napr. pôžičky či poistenie na základe profilovania musíte informovať zákazníkov, uistiť sa, že kontrolu spracovávania vykonáva osoba nie stroj, ak bude žiadosť zamietnutá, poskytnúť žiadateľovi možnosť napadnúť rozhodnutie.
- Prenášanie údajov mimo Európsku úniu – Prijmite právne opatrenia pri prenášaní údajov do krajín ktoré nie sú schválené orgánmi EU.
V čom GDPR spočíva?
GDPR nahradí zákon o ochrane osobných údajov na SR. Cieľom je ochrana digitálneho práva všetkých občanov. Hlavým bodom je upravený spôsob spracovávania osobných údajov. Pri porušeniach hrozia vysoké pokuty.
Najvýznamnejšie povinnosti:
- ustanovenie zodpovednej osoby
- upravenie príslušnej dokumentácie podľa novej právnej úpravy
- zmena súhlasu so spracovaním osobných údajov
- likvidačné pokuty za porušenie povinnosti
Kedy je potrebné stanoviť zodpovednú osobu:
- orgán verejnej moci a verejnoprávny subjekt
- subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vyžadujú pravidelné monitorovanie osôb
- subjekty, ktoré spracovávaj informácie, ktoré sa týkajú viny za trestné činy
Kto je zodpovedná osoba podľa GDPR?
Koho sa týka povinnosť mať zodpovednú osobu?
Ustanoviť zodpovednú osobu musíte podľa GDPR v týchto prípadoch:
- spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt (obce, základné školy, stredné školy, univerzity ,a pod.),
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, kde je potrebné systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
- hlavnými činnosťami je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo týkajúcich sa uznania viny za trestné činy a priestupky.
Jedna zodpovedná osoba pre skupinu podnikateľov?
S povinnosťou mať zodpovednú osobu podľa GDPR sú spojené aj dodatočné náklady. Poteší možno informácia, že skupina podnikateľov môže mať jednu a tú istú zodpovednú osobu. Podmienkou len je, aby bola zodpovedná osoba jednoducho dostupná v rámci jednotlivých podnikov. Ak teda chcete ušetriť náklady, nemusíte mať vlastného človeka na ochranu osobných údajov. Funkciu zodpovednej osoby môže zastávať zamestnanec, prevádzkovateľ alebo aj externý špecialista, ktorý bude plniť jej úlohu na základe zmluvy.
Sankcie
Nariadenie prináša nové a súčasne vyššie sankcie pri jeho porušení. Stále účinná právna úprava v SR umožňuje ÚOOÚ uložiť pri porušení zákona pokutu do výšky 200, 000.- Eur. Nariadením GDPR dané sankcie stúpli na úroveň 20, 000, 000.- Eur, alebo 4 % z celosvetového obratu (podľa toho, čo je vyššie).
Okrem sankcií definuje GDPR súčasne právo na náhradu spôsobenej újmy od prevádzkovateľa alebo sprostredkovateľa, pokiaľ fyzická osoba v dôsledku porušenia nariadenia GDPR utrpela hmotnú alebo nehmotnú újmu.
Vzhľadom na medializáciu prípadov porušenia ochrany osobných údajov a straty citlivých informácií je dôležité zhodnotiť aj vplyv prípadného incidentu na ohrozenie dobrého mena spoločnosti a prípadnú stratu reputácie.
Spozornieť by mali všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb. Práve ich sa GDPR priamo týka a sú povinné od 25. mája 2018 zosúladiť svoje podnikové postupy s týmto nariadením, inak im hrozia vyššie uvedené sankcie. V praxi to znamená, že každá spoločnosť, ktorá má zamestnancov, databázu zákazníkov, dodávateľov alebo partnerov (ak sú to fyzické osoby, alebo fyzické osoby podnikatelia). Na trhu pravdepodobne ťažko nájdeme spoločnosť, ktorej by sa nariadenie GDPR netýkalo.
Súhlas so spracovaním osobných údajov a jeho forma
Podľa § 4 ods. 3 písm. d) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. súhlasom dotknutej osoby je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov. Takáto definícia súhlasu už nebude platiť, pretože podľa čl. 4 ods. 11 nariadenia GDPR: „súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“.
Na rozdiel od zákona č. 122/2013 Z. z. tu je jasne uvedené, že musí ísť o jednoznačný prejav vôle.
Jednoznačnosť objasňuje aj bod 32 recitálu nariadenia GDPR, podľa ktorého súhlas by sa mal poskytnúť jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením súhlasu dotknutej osoby so spracúvaním osobných údajov, ktoré sa jej týkajú, a to napríklad:
- písomným vyhlásením,
- vrátane vyhlásenia prostredníctvom elektronických prostriedkov (ak má dotknutá osoba poskytnúť súhlas na základe požiadavky elektronickými prostriedkami, požiadavka musí byť jasná a stručná a nemala by pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje) alebo
- ústnym vyhlásením.
Práva subjektu
Práva subjektu, ktoré by mal súhlas so spracovaním obsahovať. Za podmienok stanovených v GDPR máte:
- právo na prístup ku svojim osobným údajom podľa čl. 15 GDPR,
- právo na opravu osobných údajov podľa čl. 16 GDPR, poprípade obmedzenie
- spracovania podľa čl. 18 GDPR.
- právo na výmaz osobných údajov podľa čl. 17 GDPR.
- právo podať námietku proti spracovávaniu podľa čl. 21 GDPR a
- právo na prenesiteľnosť údajov podľa čl. 20 GDPR.
- právo odvolať súhlas so spracovaním písomne alebo elektronicky na adresu alebo email správcu.
Ďalej máte právo podať sťažnosť na Úrade pre ochranu osobných údajov v prípade, že sa domnievate, že bolo porušené Vaše právo na ochranu osobných údajov.
GDPR – základné pojmy a definície
Pozrite si základné pojmy a definície, ktoré súvisia s tzv. Zákonom o GDPR:
Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Spracúvanie je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
Obmedzenie spracúvania je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti.
Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.
Informačný systém je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu.
Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
Príjemca je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania.
Tretia strana je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov.
Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Porušenie ochrany osobných údajov je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim.
Autor: EuroEkonóm.sk
Tento príspevok bol vytvorený 18.4.2018 a aktualizovaný 6.7.2020. Pozrite si ďalšie príspevky autora EuroEkonóm.sk.