GDPR - OCHRANA OSOBNÝCH ÚDAJOV

GDPR

GDPR sa stala jednou z najčastejšie používaných skratiek v médiách v poslednej dobe. Čo konkrétne GDPR znamená, koho sa týka, je nutné sa ním vôbec zaoberať a meniť svoje zaužívané firemné postupy?

General Data Protection Regulation, alebo ako sa často uvádza v skrátenej forme GDPR, je nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov. Ide pravdepodobne o doteraz najkomplexnejšiu právnu normu, ktorá sa zaoberá témou ochrany osobných údajov. Definuje nové pojmy, zavádza nové práva pre fyzické osoby, ale hlavne povinnosti pre subjekty, ktoré spracúvajú osobné údaje týchto osôb. Po 22 rokoch nahrádza dnes platnú smernicu Európskeho Parlamentu o ochrane osobných údajov fyzických osôb 95/46/ES.

Nariadenie GDPR sa 25. mája 2018 stane priamo aplikovateľné vo všetkých členských štátoch EÚ. V podmienkach SR Úrad na ochranu osobných údajov (ÚOOÚ) pripravil návrh zákona, ktorý z veľkej časti kopíruje nariadenie GDPR a v roku 2018 nahradí aktuálne stále platný zákon č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Čo nové teda GDPR prináša?

Nariadenie rozširuje definíciu osobných údajov na akékoľvek informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (dotknutej osobe). Identifikovateľná osoba je osoba, ktorú možno priamo či nepriamo identifikovať, najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo jeden či viac zvláštnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo spoločenskej identity.

Markantnou zmenou je spôsob udelenia súhlasu dotknutou osobou. Takýto súhlas musí byť slobodný, vvýslovný, vedomý a jednoznačný. Nesmie byť súčasťou všeobecných obchodných podmienok, či inej smernice alebo zmluvy.

Dôležitá je požiadavka minimalizácie údajov. V praxi to znamená, že je možné zbierať len tie osobné údaje, ktoré sú nevyhnutné pre výkon činnosti daného subjektu pre presne definovaný účel a na vopred stanovenú obmedzenú dobu (súčasná legislatíva umožňovala zber osobných údajov na dobu neurčitú). 

Subjektom, ktoré spracúvajú osobné údaje fyzických osôb nariaďuje GDPR povinnosť ohlásiť bezpečnostné incidenty dotknutým osobám, ako aj orgánom verejnej moci v lehote 72 hodín.

V neposlednom rade prináša novú rolu v podobe zodpovednej osoby (v anglickom znení tzv. Data Privacy Officer (DPO)). Nariadenie GDPR priamo definuje prípady, kedy je nutné nevyhnutné v organizácii túto rolu zaviesť (sú to napr. orgány verenej moci; subjekty, ktorých hlavná činnosť vyžaduje rozsiahle právne a systematické monitorovanie osobných údajov; subjekty a spracovatelia citlivých osobných údajov).

Povinnosťou subjektov, ktoré spracúvajú osobné údaje sa stáva aj vedenie záznamov o spracovateľskej činnosti.

GDPR prináša mnoho práv pre fyzické osoby, ako napríklad napríklad právo na informácie, právo na prístup k informáciám, právo na opravu a výmaz – právo byť zabudnutý, právo na obmedzenie spracúvania údajov, právo na prenosnosť údajov, právo vzniesť námietku, právo na informáciu o bezpečnostnom incidente. Všetky vyššie uvedené práva zodpovedajú aktuálnym trendom v oblasti informačnej bezpečnosti a ochrany osobných údajov. Súčasne, ale predstavujú povinnosti pre subjekty, ktoré osobné údaje spracúvajú, a to umožiťumožniť fyzickým osobám si vyššie uvedené práva uplatniť.

Prečo je nutné sa témou GDPR zaoberať a koho sa vlastne GDPR priamo týka?

Nariadenie prináša nové a súčasne vyššie sankcie pri jeho porušení. Stále účinná právna úprava v SR umožňuje ÚOOÚ uložiť pri porušení zákona pokutu do výšky 200, 000.- Eur. Nariadením GDPR dané sankcie stúpli na úroveň 20, 000, 000.- Eur, alebo 4 % z celosvetového obratu (podľa toho, čo je vyššie).

Okrem sankcií definuje GDPR súčasne právo na náhradu spôsobenej újmy od prevádzkovateľa alebo sprostredkovateľa, pokiaľ fyzická osoba v dôsledku porušenia nariadenia GDPR utrpela hmotnú alebo nehmotnú újmu.

Vzhľadom na medializáciu prípadov porušenia ochrany osobných údajov a straty citlivých informácií je dôležité zhodnotiť aj vplyv prípadného incidentu na ohrozenie dobrého mena spoločnosti a prípadnú stratu reputácie.

Spozornieť by mali všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb. Práve ich sa GDPR priamo týka a sú povinné od 25. mája 2018 zosúladiť svoje podnikové postupy s týmto nariadením, inak im hrozia vyššie uvedené sankcie. V praxi to znamená, že každá spoločnosť, ktorá má zamestnancov, databázu zákazníkov, dodávateľov alebo partnerov (ak sú to fyzické osoby, alebo fyzické osoby podnikatelia). Na trhu pravdepodobne ťažko nájdeme spoločnosť, ktorej by sa nariadenie GDPR netýkalo.

Záver

Nariadenie GDPR predstavuje evolúciu, nie však revolúciu, v oblasti ochrany osobných údajov. Nariadenie rozvíja aktuálne právne normy, ktoré z dôvodu zastaralostizastaranosti a zosúladenia v rámci EÚ nahrádza. Prináša nové adekvátne práva a povinnosti vzhľadom na situáciu v oblasti digitalizácie a rýchleho rozvoja kyber-kriminality.

Spoločnosť Vojčík & Privacy skĺbila rozsiahle medzinárodné skúsenosti v oblasti práva, štandardov v oblasti informačnej bezpečnosti a skúsenosti v oblasti riadenia a implementácie informačných technológií. Ponúkame klientom moderné, komplexné a účinné riešenia zodpovedajúce medzinárodným štandardom a platnej právnej úprave.