Aké zmeny v oblasti ochrany osobných údajov prináša európske nariadenie č. 2016/679 (GDPR)?

Mgr. Tomáš Vavro 12.07.2017


Ilustratívny obrázok k článku Aké zmeny v oblasti ochrany osobných údajov prináša európske nariadenie č. 2016/679 (GDPR)?

Prehľad najdôležitejších zmien v oblasti ochrany osobných údajov, ktoré s účinnosťou od 25.5.2018 začínajú platiť vo všetkých krajinách Európskej únie.

Čo je to osobný údaj a kedy dochádza k spracúvaniu osobných údajov?

Osobné údaje sú informácie, ktoré umožňujú priamu alebo nepriamu identifikáciu fyzickej osoby. Zatiaľ čo k tradičným osobným údajom zaraďujeme napríklad meno a priezvisko, rodné číslo alebo podobizeň zaznamenanú za pomoci fotoaparátu či kamerového systému, s neustálym vývojom moderných technológií do tejto kategórie zaraďujeme tiež technické údaje ako sú IP adresa, súbory cookies alebo rôzne šifrované či lokalizačné údaje.

Ak teda hovoríme o spracúvaní osobných údajov, najčastejšie k nemu bude dochádzať v rámci:

• Vedenia mzdovej a personálnej agendy pri spracúvaní údajov zamestnancov;

• Spracovania objednávok či reklamácií zákazníkov;

• Evidencie členov v rámci určitej odbornej alebo záujmovej skupiny;

• Získavania emailových adries či iných údajov pre účely marketingu;

• Prevádzky moderných aplikácií;

• Analýzy chovania zákazníkov alebo návštevníkov webových stránok;

• Monitorovania výrobnej haly, skladu, bytového domu či verejného priestranstva kamerovým systémom.

Na základe vyššie uvedeného tak môžeme konštatovať, že nariadeniu GDPR by mal venovať pozornosť takmer každý, kto čo i len príležitostne spracúva osobné údaje.

Najpodstatnejšie zmeny, ktoré podľa európskeho nariadenia č. 2016/679 (GDPR) začínajú platiť od 25.5.2018

K zmenám z oblasti ochrany osobných údajov, ktoré možno označiť za najpodstatnejšie, zaraďujeme predovšetkým nasledujúce novinky:

• Sprísnenie pravidiel pre udelenie a preukázanie súhlasu so spracovaním osobných údajov

V prípadoch, kedy sa k spracovaniu osobných údajov vyžaduje súhlas dotknutej osoby, musí byť tento súhlas konkrétny, slobodný, informovaný a jednoznačný. Po novom tak súhlas dotknutej osoby nemôže byť súčasťou zmluvných podmienok v zmysle take it or leave it a nesmie byť odvodený z nečinnosti (napr. pri používaní súborov cookies). Prevádzkovateľ by mal byť navyše vždy schopný preukázať, že súhlas so spracovaním osobných údajov mu bol skutočne udelený.

• Sprísnenie podmienok pre spracúvanie osobných údajov detí do 16 rokov

Ak majú byť v rámci ponuky služieb informačnej spoločnosti (typicky pri nakupovaní cez eshop) spracované osobné údaje osoby mladšej ako 16 rokov, a to na základe súhlasu, podľa GDPR je k tomu potrebný súhlas jej zákonného zástupcu. Keďže overenie veku návštevníka webovej stránky je prakticky nemožné, text súhlasu so spracovaním osobných údajov by mal byť doplnený o prehlásenie, že ak je dotknutá osoba mladšia než 16 rokov, bol jej pred odovzdaním osobných údajov udelený súhlas rodiča. Alternatívnym riešením je prehlásenie poskytovateľa služby informačnej spoločnosti, že daná služba nie je určená pre osoby mladšie než 16 rokov.

• Povinnosť ustanoviť zodpovednú osobu (Data Protection Officer)

Verejnoprávne subjekty, spracovatelia osobných údajov osobitnej kategórie a prevádzkovatelia, ktorí systematicky, pravidelne a vo veľkom rozsahu monitorujú dotknuté osoby, budú musieť ustanoviť tzv. zodpovednú osobu, ktorá bude dohliadať na zákonnosť postupov pri spracovaní osobných údajov a plniť ďalšie úlohy v zmysle GDPR. Táto povinnosť sa preto týka najmä tých podnikateľov, ktorí pri svojej činnosti vyhodnocujú chovanie osôb, napríklad za účelom cielenia reklamy. Zodpovednou osobou môže byť fyzická alebo právnická osoba na základe zmluvy o poskytovaní služieb alebo tiež vlastný zamestnanec, ktorý má alebo získa potrebnú kvalifikáciu, napr. v rámci e-CF (European Competence Framework).

• Povinnosť viesť záznamy o spracovateľských činnostiach

Každý, kto zamestnáva aspoň 250 zamestnancov alebo spracúva osobné údaje osobitnej kategórie, je podľa GDPR povinný viesť interné záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Súčasťou takejto evidencie musí byť vymedzenie rozsahu a účelu spracovania osobných údajov, záznamy o prenosoch osobných údajov do tretích krajín, informácie o lehotách na vymazanie údajov, prijatých bezpečnostných opatreniach a iné.

• Povinnosť nahlasovať bezpečnostné incidenty do 72 hodín

Pri narušení či úniku osobných údajov je prevádzkovateľ povinný nahlásiť takýto bezpečnostný incident Úradu na ochranu osobných údajov, a to najneskôr do 72 hodín od jeho zistenia. Ak by narušenie či únik osobných údajov mohol vážne ohroziť práva či slobody dotknutých osôb, prevádzkovateľ bude povinný takýto bezpečnostný incident oznámiť aj samotným dotknutým osobám. Rovnaké povinnosti sa vzťahujú taktiež na osobu sprostredkovateľa.

• Povinnosť spracovať analýzu vplyvov na ochranu osobných údajov (Data Protection Impact Assessment) a povinnosť požiadať Úrad na ochranu osobných údajov o konzultáciu

Ak určitý typ spracúvania osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb, prevádzkovateľ je ešte pred začatím spracúvania povinný vypracovať tzv. analýzu vplyvov na ochranu osobných údajov. O rizikovom spracovaní osobných údajov hovoríme najmä pri systematickom monitorovaní verejne prístupných priestorov alebo rozsiahlom spracúvaní osobitných kategórií údajov, akými sú údaje o zdravotnom stave, biometrické údaje, údaje odhaľujúce rasový pôvod, politické názory, členstvo v odborových organizáciách a iné. Ak sa v rámci analýzy potvrdí predpoklad, že spracúvanie osobných údajov môže byť pre práva a slobody dotknutých osôb rizikové, podľa GDPR bude prevádzkovateľ povinný požiadať Úrad na ochranu osobných údajov o konzultáciu.

• Právo dotknutej osoby byť zabudnutý

Podľa GDPR bude mať každá dotknutá osoba (za určitých podmienok) právo požadovať, aby jej osobné údaje boli úplne vymazané z internetových vyhľadávačov. Prevádzkovatelia vyhľadávačov ako sú Google, Bing či Yahoo preto na svoje stránky postupne implementujú špeciálne on-line formuláre, ktoré dotknutým osobám umožnia využitie tohto práva v praxi.

• Právo dotknutých osôb na prenos údajov

Každá fyzická osoba má podľa GDPR právo na bezplatné získanie a následný prenos osobných údajov od jedného prevádzkovateľa k inému, napríklad v rámci zmeny poskytovateľa určitej služby. Pôvodný prevádzkovateľ bude preto na žiadosť dotknutej osoby povinný požadované osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. XML alebo CSV) vydať a umožniť ich prenos k inému prevádzkovateľovi. V prostredí internetu sa táto novinka prejaví implementáciou nových funkcionalít do webových stránok, ktoré takýto export a prenos údajov umožnia.

• Vyššie sankcie za porušenie povinností pri spracúvaní osobných údajov

Jedným z dôvodov, prečo by mali podnikatelia spozornieť, je tiež výška pokút, ktoré GDPR zavádza. Prevádzkovateľovi, ktorý poruší povinnosti spojené so spracúvaním osobných údajov (napríklad tým, že ustanoví zodpovednú osobu iba „pro forma“ alebo tým, že opomenie rodičovský súhlas), môže byť uložená pokuta až do výšky 20.000.000 EUR, prípadne až do výšky 4 % z celosvetového ročného obratu.

Kedy a ako sa na GDPR pripraviť?

Rozsah, účel a spôsob spracúvania osobných údajov sa bude u každého podnikateľa značne odlišovať. Zatiaľ čo niektorí spracúvajú výhradne osobné údaje zamestnancov, iní spracúvajú tiež osobné údaje zákazníkov eshopu alebo podobizne návštevníkov určitých priestorov zaznamenané kamerovým systémom.

Prvým krokom by preto mala byť dôkladná analýza vnútorných dokumentov (zmluvy, obchodné podmienky, používané formuláre) a postupov (nastavenie registračného či objednávkového procesu na webovej stránke) v spolupráci s advokátom alebo iným odborníkom na ochranu osobných údajov.

Na základe takejto analýzy budú odhalené nedostatky, ktorých odstránenie môže v niektorých prípadoch trvať aj niekoľko mesiacov. Typickým príkladom je ustanovenie zodpovednej osoby, ktorá bude musieť prejsť zdĺhavým výberovým konaním či zaškolením, alebo úprava funkcionalít webovej stránky tak, aby vyhovovala požiadavkám GDPR.

Aby boli potrebné zmeny implementované riadne a včas, podnikatelia by sa problematikou ochrany osobných údajov mali začať zaoberať čo najskôr.

Kontaktujte nás

Ak máte ďalšie otázky, neváhajte nás kontaktovať.


Odoberať novinky e-mailom RSS Feed
Zdieľať