Dňa 25. mája 2018 nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, známe ako GDPR (General Data Protection Regulation), ktoré zásadne upravuje ochranu fyzických osôb pri spracúvaní osobných údajov, ich prenose, zdieľaní a likvidácii. Táto legislatíva znamená výrazné posilnenie práv dotknutých osôb a zároveň ukladá nové povinnosti všetkým prevádzkovateľom a sprostredkovateľom osobných údajov.
GDPR ovplyvní v rôznej miere všetky subjekty pôsobiace na trhu. V tomto odbornom článku nájdete podrobný prehľad o tom, čo GDPR zahŕňa, aké povinnosti pre Vás z neho vyplývajú a ako úspešne zabezpečiť jeho implementáciu vo Vašej organizácii.
Spracúvanie osobných údajov v praxi
Osobné údaje spracovávate nielen v očividných prípadoch, ale aj tam, kde by ste to možno ani nepredpokladali. Príklady bežných situácií, kedy dochádza k spracovaniu osobných údajov, zahŕňajú:
- prevádzkovanie webovej stránky s online kontaktným formulárom,
- rozosielanie newsletterov,
- zverejňovanie skutočných mien alebo kontaktných údajov osôb na webových stránkach,
- prevádzkovanie elektronického obchodu (e-shopu),
- používanie cookies na webových stránkach,
- zamestnávanie aspoň jedného pracovníka,
- predaj tovaru alebo poskytovanie služieb klientom na základe faktúry a podobne.
V každom z týchto prípadov dochádza k spracúvaniu osobných údajov, za ktoré nesiete zodpovednosť a ste povinní tieto údaje chrániť pred neoprávneným prístupom či stratou.
Definícia GDPR a jeho právny rámec
GDPR predstavuje nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016, ktoré zrušilo predchádzajúcu smernicu 95/46/ES o ochrane údajov. Významne harmonizuje pravidlá ochrany osobných údajov a zaručuje ich bezpečné spracovanie v rámci celej Európskej únie.
Toto nariadenie chráni základné práva a slobody fyzických osôb, predovšetkým ich právo na ochranu osobných údajov, pričom zároveň zabezpečuje voľný pohyb osobných údajov v rámci EÚ bez neprimeraných obmedzení z dôvodu ochrany týchto údajov. Kompletné znenie nariadenia nájdete na stránke eur-lex.europa.eu.
Rozsah a spôsob spracovania osobných údajov
GDPR sa vzťahuje na spracúvanie osobných údajov vykonávané buď úplne alebo čiastočne automatizovanými prostriedkami, ako aj na spracovanie neautomatizovanými prostriedkami, pokiaľ tieto údaje tvoria súčasť informačného systému alebo sú určené na jeho zaradenie.
Cieľom GDPR je harmonizovať ochranu základných práv a slobôd dotknutých osôb a umožniť efektívny tok osobných údajov medzi členskými štátmi EÚ.
Spracúvanie osobných údajov by malo byť vždy v súlade s princípom proportionality, teda také, ktoré je nevyhnutné a primerané vzhľadom na účel spracovania a je vyvážené voči právam fyzických osôb. GDPR zároveň rešpektuje široké spektrum základných práv a slobôd, vrátane ochrany súkromia, komunikácie, slobody myslenia, prejavu, podnikania a ďalších.
(Zdroj: Úrad na ochranu osobných údajov)
Právo na ochranu osobných údajov ako základné právo
Ochrana osobných údajov je zakotvená medzi základné práva jednotlivcov a je chránená v článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie.
Bez ohľadu na štátnu príslušnosť alebo miesto bydliska majú všetky fyzické osoby právo na ochranu svojich osobných údajov. GDPR prispieva k vytvoreniu priestoru slobody, bezpečnosti a spravodlivosti v rámci jednotného trhu a zároveň podporuje hospodársky a sociálny rozvoj v Európe.
Povinnosti vyplývajúce z GDPR
Ak vaša organizácia už dodržiava zákon č. 101/2000 Z. z. o ochrane osobných údajov, máte dobrý základ pre implementáciu GDPR, ktorý však vyžaduje doplniť a upresniť určité oblasti.
Hlavné povinnosti podľa GDPR zahŕňajú:
- informovanie dotknutých osôb o účele, rozsahu, dobe uchovávania a príjemcoch osobných údajov,
- získavanie jednoznačného, slobodne daného a informovaného súhlasu pred začatím spracovania,
- opätovné získanie súhlasu, ak už osobné údaje spracúvate, ale nie v súlade s novými pravidlami,
- umožnenie prístupu dotknutých osôb k ich údajom,
- umožnenie žiadostí o vymazanie údajov („právo na zabudnutie“),
- povinnosť informovať o bezpečnostných incidentoch a úniku osobných údajov bez zbytočného odkladu.
Spôsoby ochrany práv dotknutých osôb
Vaša organizácia by mala zabezpečiť, aby práva osôb, ktoré vám poskytujú osobné údaje, boli efektívne chránené prostredníctvom týchto opatrení:
- Transparentná komunikácia: Jasne a zrozumiteľne vysvetlite, kto ste, aký je účel spracovania a aké práva majú osoby.
- Získanie súhlasu: Vyžiadajte si jednoznačný súhlas, pričom pri údajoch detí sledujte vekové limity a potrebu súhlasu zákonných zástupcov.
- Upozorňovanie na riziká: Informujte osoby o rizikách súvisiacich so spracovaním ich osobných údajov, najmä pri vyšších bezpečnostných hrozbách.
- Dostatočné zabezpečenie údajov: Používajte adekvátne technické a organizačné opatrenia najmä pri spracovaní citlivých údajov, ako sú informácie o zdraví, rase, náboženstve či politickom presvedčení.
- Právo na vymazanie: Umožnite dotknutým osobám vymazať ich osobné údaje a byť „zabudnutými“.
- Marketing a profilovanie: Zaistite, aby osoby mohli odmietnuť použitie ich údajov na marketingové účely alebo profilovanie a aby profilovanie bolo transparentné a kontrolované.
- Právne zabezpečenie pri prenose údajov mimo EÚ: Dodržiavajte prísne pravidlá pri prenose osobných údajov do tretích krajín, ktoré nie sú schválené Európskou úniou.
Implementácia GDPR na Slovensku
V Slovenskej republike GDPR nahradilo pôvodný zákon o ochrane osobných údajov. Hlavným cieľom je ochrana digitálnych práv všetkých občanov a zvýšenie transparentnosti spracovania osobných údajov.
Medzi najvýznamnejšie požiadavky voči organizáciám patria:
- ustanovenie zodpovednej osoby pre ochranu osobných údajov (DPO),
- aktualizácia a vedenie dokumentácie podľa nových právnych štandardov,
- jasné a konkrétne formy získavania súhlasu so spracovaním údajov,
- prísne sankcie za porušenie pravidiel vrátane vysokých pokút.
Kedy musíte určiť zodpovednú osobu (DPO)?
- ak ide o orgán verejnej moci alebo verejnoprávny subjekt (napr. obce, školy, univerzity),
- ak je hlavnou činnosťou spracovanie osôb s pravidelným a rozsiahlym monitorovaním,
- ak spracúvate veľké množstvá citlivých údajov alebo údaje súvisiace so spoločenskou alebo trestnou zodpovednosťou.
Funkcia zodpovednej osoby (DPO) podľa GDPR
Kto musí mať zodpovednú osobu?
Podľa nariadenia GDPR má povinnosť ustanoviť DPO napríklad:
- každý orgán verejnej moci alebo verejnoprávny subjekt (obce, školy, verejné inštitúcie),
- subjekty, ktorých hlavnou činnosťou je sledovanie osôb na veľkom rozsahu,
- organizácie spracúvajúce veľké množstvá citlivých osobných údajov alebo údaje súvisiace s trestnou činnosťou.
Možnosť spoločnej zodpovednej osoby pre skupinu spoločností
Povinnosť mať zodpovednú osobu so sebou nesie aj finančné náklady. Preto GDPR umožňuje, aby skupina podnikateľov využívala spoločnú osobu zodpovednú za ochranu osobných údajov. Podmienkou je, že DPO je ľahko dostupná pre všetky zúčastnené subjekty. Funkciu DPO môže zastávať interný zamestnanec, prevádzkovateľ alebo externý odborník na základe zmluvy.
Sankcie za porušenie GDPR
GDPR zavádza výrazne prísnejšie sankcie než predchádzajúce pravidlá. Úrad na ochranu osobných údajov na Slovensku môže ukladať pokuty až do výšky 20 miliónov eur alebo 4 % z celosvetového ročného obratu spoločnosti, podľa toho, ktorá hodnota je vyššia. Pre porovnanie, doteraz boli pokuty limitované na 200 000 eur.
Okrem finančných postihov GDPR priznáva aj právo na náhradu škody, vrátane nemajetkovej ujmy, ktorú môže fyzická osoba utrpieť v dôsledku porušenia nariadenia.
Dodatočne je potrebné brať do úvahy aj možný negatívny dopad na reputáciu spoločnosti, ktorý môže vzniknúť v dôsledku úniku alebo zneužitia citlivých údajov.
Zapamätajte si, že dôsledné dodržiavanie GDPR je nielen povinnosťou, ale aj konkurenčnou výhodou v dôvere zákazníkov a partnerov.
