GDPR

GDPR sa stala jednou z najčastejšie používaných skratiek v médiách v poslednej dobe. Čo konkrétne GDPR znamená, koho sa týka, je nutné sa ním vôbec zaoberať a meniť svoje zaužívané firemné postupy?

General Data Protection Regulation, alebo ako sa často uvádza v skrátenej forme GDPR, je nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov. Ide pravdepodobne o doteraz najkomplexnejšiu právnu normu, ktorá sa zaoberá témou ochrany osobných údajov. Definuje nové pojmy, zavádza nové práva pre fyzické osoby, ale hlavne povinnosti pre subjekty, ktoré spracúvajú osobné údaje týchto osôb. Po 22 rokoch nahrádza dnes platnú smernicu Európskeho Parlamentu o ochrane osobných údajov fyzických osôb 95/46/ES.

Nariadenie GDPR sa 25. mája 2018 stane priamo aplikovateľné vo všetkých členských štátoch EÚ. V podmienkach SR Úrad na ochranu osobných údajov (ÚOOÚ) pripravil návrh zákona, ktorý z veľkej časti kopíruje nariadenie GDPR a v roku 2018 nahradí aktuálne stále platný zákon č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Čo nové teda GDPR prináša?

Nariadenie rozširuje definíciu osobných údajov na akékoľvek informácie o identifikovanej alebo identifikovateľnej fyzickej osobe (dotknutej osobe). Identifikovateľná osoba je osoba, ktorú možno priamo či nepriamo identifikovať, najmä odkazom na určitý identifikátor, napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor alebo jeden či viac zvláštnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo spoločenskej identity.

Markantnou zmenou je spôsob udelenia súhlasu dotknutou osobou. Takýto súhlas musí byť slobodný, vvýslovný, vedomý a jednoznačný. Nesmie byť súčasťou všeobecných obchodných podmienok, či inej smernice alebo zmluvy.

Dôležitá je požiadavka minimalizácie údajov. V praxi to znamená, že je možné zbierať len tie osobné údaje, ktoré sú nevyhnutné pre výkon činnosti daného subjektu pre presne definovaný účel a na vopred stanovenú obmedzenú dobu (súčasná legislatíva umožňovala zber osobných údajov na dobu neurčitú).

Subjektom, ktoré spracúvajú osobné údaje fyzických osôb nariaďuje GDPR povinnosť ohlásiť bezpečnostné incidenty dotknutým osobám, ako aj orgánom verejnej moci v lehote 72 hodín.

V neposlednom rade prináša novú rolu v podobe zodpovednej osoby (v anglickom znení tzv. Data Privacy Officer (DPO)). Nariadenie GDPR priamo definuje prípady, kedy je nutné nevyhnutné v organizácii túto rolu zaviesť (sú to napr. orgány verenej moci; subjekty, ktorých hlavná činnosť vyžaduje rozsiahle právne a systematické monitorovanie osobných údajov; subjekty a spracovatelia citlivých osobných údajov).

Povinnosťou subjektov, ktoré spracúvajú osobné údaje sa stáva aj vedenie záznamov o spracovateľskej činnosti.

GDPR prináša mnoho práv pre fyzické osoby, ako napríklad napríklad právo na informácie, právo na prístup k informáciám, právo na opravu a výmaz – právo byť zabudnutý, právo na obmedzenie spracúvania údajov, právo na prenosnosť údajov, právo vzniesť námietku, právo na informáciu o bezpečnostnom incidente. Všetky vyššie uvedené práva zodpovedajú aktuálnym trendom v oblasti informačnej bezpečnosti a ochrany osobných údajov. Súčasne, ale predstavujú povinnosti pre subjekty, ktoré osobné údaje spracúvajú, a to umožiťumožniť fyzickým osobám si vyššie uvedené práva uplatniť.

Prečo je nutné sa témou GDPR zaoberať a koho sa vlastne GDPR priamo týka?

Nariadenie prináša nové a súčasne vyššie sankcie pri jeho porušení. Stále účinná právna úprava v SR umožňuje ÚOOÚ uložiť pri porušení zákona pokutu do výšky 200, 000.- Eur. Nariadením GDPR dané sankcie stúpli na úroveň 20, 000, 000.- Eur, alebo 4 % z celosvetového obratu (podľa toho, čo je vyššie).

Okrem sankcií definuje GDPR súčasne právo na náhradu spôsobenej újmy od prevádzkovateľa alebo sprostredkovateľa, pokiaľ fyzická osoba v dôsledku porušenia nariadenia GDPR utrpela hmotnú alebo nehmotnú újmu.

Vzhľadom na medializáciu prípadov porušenia ochrany osobných údajov a straty citlivých informácií je dôležité zhodnotiť aj vplyv prípadného incidentu na ohrozenie dobrého mena spoločnosti a prípadnú stratu reputácie.

Spozornieť by mali všetky subjekty, ktoré spracúvajú osobné údaje fyzických osôb. Práve ich sa GDPR priamo týka a sú povinné od 25. mája 2018 zosúladiť svoje podnikové postupy s týmto nariadením, inak im hrozia vyššie uvedené sankcie. V praxi to znamená, že každá spoločnosť, ktorá má zamestnancov, databázu zákazníkov, dodávateľov alebo partnerov (ak sú to fyzické osoby, alebo fyzické osoby podnikatelia). Na trhu pravdepodobne ťažko nájdeme spoločnosť, ktorej by sa nariadenie GDPR netýkalo.

Záver

Nariadenie GDPR predstavuje evolúciu, nie však revolúciu, v oblasti ochrany osobných údajov. Nariadenie rozvíja aktuálne právne normy, ktoré z dôvodu zastaralostizastaranosti a zosúladenia v rámci EÚ nahrádza. Prináša nové adekvátne práva a povinnosti vzhľadom na situáciu v oblasti digitalizácie a rýchleho rozvoja kyber-kriminality.

Spoločnosť Vojčík & Privacy skĺbila rozsiahle medzinárodné skúsenosti v oblasti práva, štandardov v oblasti informačnej bezpečnosti a skúsenosti v oblasti riadenia a implementácie informačných technológií. Ponúkame klientom moderné, komplexné a účinné riešenia zodpovedajúce medzinárodným štandardom a platnej právnej úprave.

GDPR tím

Matúš Čopík

GDPR

Viac

Jana Pirická

GDPR

Viac

Matúš Čopík

GDPR

Viac

Jana Pirická

GDPR

Viac

Cookie	Dĺžka trvania	Popis
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dĺžka trvania	Popis
_ga	1 year 1 month 4 days	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.