GDPR v skratke

Koncom mája 2019 uplynie jeden rok od účinnosti GDPR, ktoré v členských štátoch EÚ zaviedlo jednotný režim ochrany osobných údajov. Koho sa dotklo a aké zásadné zmeny prinieslo?

Ochrana fyzických osôb v súvislosti so spracovávaním osobných údajov patrí medzi základné ľudské práva. Každý, kto akýmkoľvek spôsobom prichádza do styku s osobnými údajmi, je povinný zabezpečiť ich ochranu v súlade s európskym nariadením GDPR.

Čo je GDPR?

Pod skratkou GDPR (General Data Protection Regulation) sa skrýva nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, ktoré  v členských štátoch EÚ nadobudlo účinnosť minulý rok, konkrétne 25. 5. 2018. V podmienkach SR sa premietlo do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od toho istého dňa. Tento zákon nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.

GDPR predstavuje súbor ucelených pravidiel na ochranu osobných údajov. Osobnými údajmi sú len také údaje, na základe ktorých možno fyzickú osobu identifikovať, prípadne také, na základe ktorých sa fyzická osoba stáva identifikovateľnou (napr. meno, priezvisko, dátum narodenia, rodné číslo, adresa, kontaktné údaje, biometrické údaje atď.).

Koho sa GDPR dotklo?

Dá sa povedať, že po máji 2018 sa nariadenie GDPR dotklo všetkých oblastí vrátane podnikania. Zasiahlo bankovníctvo, poisťovníctvo, retailový trh a internetové obchody, výrobu a služby, aj zdravotníctvo či verejnú správu.  

GDPR sa dotklo každého, kto spracúva osobné údaje občanov EÚ.

Dotýka sa teda každého, kto zhromažďuje a spracúva osobné údaje fyzických osôb (občanov EÚ). GDPR sa tak bezpodmienečne vzťahuje na všetky firmy (veľké či malé), ktoré podnikajú v rámci EÚ, na inštitúcie a organizácie, ale aj na zahraničné spoločnosti, ktoré spracúvajú osobné údaje občanov EÚ. Jednoducho povedané, týka sa všetkých subjektov a činností, pri ktorých dochádza k spracovaniu osobných údajov občanov EÚ. Najčastejšie ide o zamestnávateľov, dodávateľov tovarov, poskytovateľov služieb, prevádzkovateľov webových stránok i e-shopov.

Aké zmeny prinieslo GDPR? 

V prvom rade zadefinovalo nové pojmy ako napríklad genetické údaje, online identifikátor, pseudonymizácia, zodpovedná osoba a iné. Okrem toho zaviedlo nové práva pre fyzické osoby a nové povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb.

Spresnenie konceptu osobných údajov

GDPR ustanovilo novú definíciu osobných údajov. Rozumejú sa nimi údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.

Radikálna zmena nastala najmä pre firmy podnikajúce prostredníctvom internetu, pretože ochrana osobných údajov sa po účinnosti GDPR začala vzťahovať aj na rôzne online identifikátory osôb napríklad na používanie cookies, geolocations či IP adresu.

Zmeny vo formálnych podmienkach súhlasu so spracúvaním osobných údajov

Ďalšia zmena nastala v legálnej definícii súhlasu dotknutej osoby so spracúvaním osobných údajov. Takýmto súhlasom sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov.

Súhlas dotknutej osoby je zároveň jedným z právnych základov, na základe ktorého môžu byť osobné údaje spracúvané. V praxi sa najčastejšie vyskytuje napríklad pri marketingovej komunikácii, prevádzkovaní e-shopov alebo pri organizovaní spotrebiteľskej súťaže či zverejňovaní fotografií na webových stránkach. Pri návšteve internetovej stránky môže byť súhlas vyjadrený napríklad označením políčka (tzv. checkboxu). Predvyznačenie políčka alebo nečinnosť dotknutej osoby nie je možné pokladať za súhlas so spracovaním osobných údajov.

Prečítajte si tiež

Avšak GDPR pred súhlasom dotknutej osoby uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. osobitný zákon, zmluvu či oprávnený záujem prevádzkovateľa). To znamená, že súhlas nemá predstavovať primárny základ pre spracovanie osobných údajov, ak je ich možné spracovať napríklad na základe zákona alebo zmluvy.

Zakotvenie nových práv dotknutých osôb

Jedným z cieľov GDPR bolo aj výrazne posilniť práva dotknutých osôb (občanov EÚ). Došlo k zakotveniu práva byť zabudnutý, ktoré zahŕňa aj právo na výmaz všetkých osobných údajov týkajúcich sa dotknutej osoby na základe jej žiadosti. Ak dotknutá osoba uplatnila právo na výmaz, prevádzkovateľ musí bez zbytočného odkladu vymazať osobné údaje, ktoré sa jej týkajú.

Ďalej sa zakotvilo právo na prenosnosť osobných údajov, ak sa údaje spracovávali na účely plnenia zmluvy alebo na základe súhlasu dotknutej osoby. Má to význam napríklad v prípade, keď sa dotknutá osoba rozhodla zmeniť dodávateľa služieb - môže pôvodného dodávateľa požiadať o prenos jej osobných údajov k novému dodávateľovi (ak je to technicky možné).

Zavedenie nových a zmena starých povinností

GDPR zmenilo obsah tzv. informačnej povinnosti. Ide o povinnosť prevádzkovateľa poskytnúť pri získavaní osobných údajov dotknutej osobe ustanovené informácie – napr. totožnosť a kontaktné údaje prevádzkovateľa, účel a právny základ spracúvania osobných údajov alebo dobu ich uchovávania. Informácie by mali byť dotknutej osobe poskytnuté ešte pred spracúvaním osobných údajov, najneskôr však pri ich získavaní.

Nariadenie GDPR ďalej ustanovilo oznamovanie (ohlasovanie) prípadov porušenia ochrany osobných údajov, tzv. bezpečnostných incidentov. Ohlasovaciu povinnosť si prevádzkovateľ musí splniť jednak voči dozornému orgánu – Úradu pre ochranu osobných údajov, a to bez zbytočného odkladu, najneskôr do sedemdesiatdva hodín odkedy sa o incidente dozvedel a voči dotknutej osobe bezodkladne, ak porušenie môže viesť k vysokému riziku pre práva fyzických osôb

Od účinnosti GDPR vznikla niektorým subjektom povinnosť vymenovať zodpovednú osobu (Data Protection Officer). Prevádzkovateľ je povinný určiť zodpovednú osobu len v štyroch prípadoch (napr. ak pravidelne monitoruje dotknuté osoby vo veľkom rozsahu alebo pravidelne spracúva citlivé osobné údaje vo veľkom rozsahu). Do úvahy to prichádza napríklad pri spracúvaní osobných údajov klientov bankami. Na rozdiel od iných členských štátov EÚ, v SR táto funkcia existovala už za účinnosti pôvodného zákona o ochrane osobných údajov. Viaceré firmy, ktoré predtým mali určenú zodpovednú osobu, ju už podľa GDPR povinne mať nemusia. 

Vstupom GDPR do platnosti už prevádzkovateľ nemá povinnosť vypracúvať bezpečnostný projekt. Túto povinnosť zakotvenú v pôvodnom zákone o ochrane osobných údajov nahradila nová povinnosť, a to povinnosť vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (Data Protection Impact Assessment). Avšak aj plnenie tejto povinnosti v sebe zahŕňa administratívne povinnosti, t. j. spracovanie príslušnej bezpečnostnej dokumentácie. Vyžaduje sa napríklad pri spracúvaní citlivých osobných údajov (napr. zdravotných údajov). 

Článok pokračuje pod reklamou

Zavedenie likvidačných sankcií za porušenie ustanovení GDPR

V závislosti od okolností každého jednotlivého prípadu (charakteru a závažnosti porušenia) ako aj ďalších skutočností môže Úrad na ochranu osobných údajov SR uložiť dva druhy sankcií:

  1. pokutu za správne delikty (za priame porušenie GDPR) a
  2. poriadkovú pokutu za nesplnenie ním uloženého opatrenia (za nesplnenie predchádzajúceho opatrenia uloženého úradom).

Nariadenie ustanovilo možnosť ukladať pokuty až do výšky niekoľkých miliónov eur (napr. za závažné porušenie najviac do výšky 20 000 000 eur). Zanedbanie povinností ustanovených v GDPR tak môže stáť nemálo peňazí. Komu môže byť pokuta uložená, v akej výške a za aké porušenie sa dočítate v článku Ukladanie pokút podľa GDPR.

Za porušenie GDPR hrozia likvidačné pokuty, až do výšky 20 miliónov eur.

Stručne povedané, GDPR so sebou prinieslo viaceré povinnosti: upraviť príslušnú dokumentáciu v oblasti ochrany osobných údajov, prispôsobiť ju novej právnej úprave, zabezpečiť prevenciu pred možným únikom údajov a neoprávneným prístupom k nim, vykonať zmeny v súhlasoch dotknutých osôb so spracúvaním ich osobných údajov, v likvidácii údajov, upraviť všetky informačné systémy spracovávajúce osobné údaje pred bezpečnostným narušením, únikom údajov alebo ich stratou, schopnosť včas identifikovať všetky bezpečnostné incidenty, analyzovať ich a zdokumentovať. Viac o povinnostiach prevádzkovateľa si prečítajte v našom stručnom prehľade.

Ako GDPR zasiahlo zamestnávateľov?

Osobné údaje sú súčasťou každodennej reality v rôznych spoločenských oblastiach vrátane oblasti pracovnoprávnej. V pracovnoprávnych vzťahoch je osobou, ktorá spracúva osobné údaje zamestnancov (dotknutých osôb) vo vlastnom mene zamestnávateľ (prevádzkovateľ).

Prečítajte si tiež

Na základe zákona o ochrane osobných údajov je zamestnávateľ v súvislosti s plnením pracovných, služobných alebo funkčných povinností zamestnanca oprávnený zverejniť niektoré osobné údaje o zamestnancovi bez potreby získania jeho súhlasu (napr. titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, osobné číslo zamestnanca odborný útvar, miesto výkonu práce, telefónne číslo, e-mail). Napriek tomu, že rodné číslo zamestnanca už viac nepatrí do kategórie citlivých osobných údajov, naďalej platí zákaz jeho zverejňovania (okrem prípadu, že ho zverejní sám zamestnanec). 

Aktuálne je jedným z často využívaných osobných údajov zamestnanca jeho fotografia. Aj tá už po účinnosti GDPR nepatrí medzi citlivé osobné údaje. Zamestnávatelia spracúvajú fotografie zamestnancov najmä ich zverejnením na webovej stránke či sociálnej sieti na účel propagácie firmy. Súhlas zamestnanca sa vyžaduje.    

Medzi citlivé osobné údaje naďalej patria biometrické údaje zamestnancov (napr. odtlačok prstov). Ich spracúvanie zamestnávateľom prichádza do úvahy len vo výnimočných prípadoch (napr. keď je to nevyhnutné na splnenie pracovnoprávnej povinnosti zamestnávateľa pri bezpečnosti a ochrane zdravia pri práci).

Fotografia zamestnanca je všeobecným osobným údajom, na jej zverejnenie je nutný súhlas.

Zamestnávatelia si v súčasnej dobe obľúbili monitoring služobných vozidiel prostredníctvom GPS lokálizátorov. Je ale dôležité si uvedomiť, že v dôsledku monitorovania dochádza k zhromažďovaniu osobných údajov zamestnanca, ktorý služobné vozidlo používa. Súhlas zamestnanca sa nevyžaduje, ak zamestnávateľ spracúva jeho údaje na základe oprávneného záujmu (napr. za účelom ochrany svojho majetku - auta). Zamestnávateľ si ale musí splniť informačnú povinnosť, teda musí zamestnanca informovať o tom, že služobné vozidlo, ktoré používa, je monitorované. O monitorovaní prostredníctvom bezpečnostných kamier sa dočítate v článku Monitorovanie zamestnancov kamerovým systémom a GDPR.

Na záver chceme zdôrazniť, že zamestnávateľ spracúva nielen osobné údaje zamestnancov, ale aj osobné údaje uchádzačov o zamestnanie, a to v rámci výberového konania. Ich osobné údaje sa používajú k spracovaniu personálnych podkladov za účelom vykonania pracovného pohovoru. Či sa na spracúvanie osobných údajov uchádzačov o zamestnanie vyžaduje súhlas ako aj ďalšie informácie ohľadne GDPR a výberovom konaní si môžete prečítať v článku Ochrana osobných údajov pri výbere nových zamestnancov – čo všetko musí podľa GDPR zamestnávateľ riešiť.

Kto môže očakávať kontrolu dodržiavania GDPR sa dozviete v článku Kontroly GDPR v roku 2020 – kto ich môže čakať?

Viac podobných článkov nájdete na www.podnikajte.sk


Otváracie hodiny počas veľkonočných sviatkov 2024

Prehľad otváracej doby jednotlivých reťazcov počas Veľkej noci - od 29.3.2024 do 1.4.2024. Kto (ne)musí prevádzku zatvoriť?

Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?

Kedy môže zväčšovať pery alebo vyhladzovať vrásky kozmetička a kedy to musí robiť lekár? Môže botox aplikovať zdravotná sestra? Čo hovorí zákon a kto kontroluje jeho dodržiavanie?

Povinnosti podnikateľa/účtovníka v januári 2024

Ukončenie roka so sebou prináša množstvo povinností. Čo všetko musia podnikatelia, príp. ich účtovníci stihnúť (spravidla) do 31. januára 2024?

Odstúpenie od zmluvy uzavretej na diaľku v praxi

Kedy spotrebiteľ (ne)môže odstúpiť od zmluvy uzavretej na diaľku bez udania dôvodu? Aké sú podmienky vrátenia tovaru a peňazí? Praktické informácie a príklady.
To najlepšie z Podnikajte.sk do vašej schránky