3.5.2017
ID: 3686upozornenie pre užívateľov

Právná regulácie ochrany osobných údajov

Prijatie GDPR, teda nového nariadenia na ochranu osobných údajov prijatého na pôde EÚ predstavuje najvýznamnejšiu zmenu v oblasti právnej regulácie ochrany osobných údajov za posledných 20 rokov. Nariadenie nahradí v súčasnosti platnú a účinnú smernicu na ochranu osobných údajov ako aj na Slovensku platný zákon na ochranu osobných údajov s účinnosťou od 25. mája 2018. Nariadenie si kladie za cieľ zaviesť jednotnú právnu úpravu v celej EÚ a výrazne posilniť práva dotknutých osôb z EÚ. Keďže GDPR bude priamo aplikovateľné vo všetkých členských štátoch, dotkne sa všetkých subjektov, ktoré spracúvajú osobné údaje (teda informácie o fyzických osobách), či už zamestnávateľov, dodávateľov tovarov, poskytovateľov služieb, prevádzkovateľov webových stránok, e-shopov, i verejný sektor.

 
 Malata, Pružinský, Hegedüš & Partners
 
GDPR prináša nové pravidlá nakladania s osobnými údajmi a rozširuje práva dotknutých osôb, ktoré si vynútia i zmeny v interných procesoch obchodných spoločností.

Nariadenie reaguje na nové požiadavky digitálneho veku so zameraním sa na ochranu práva na ochranu súkromia jednotlivcov a zabezpečenie voľného toku osobných údajov v rámci EÚ. Zároveň je potrebné uviesť, že GDPR neprináša úplne prevratný pohľad, nakoľko zachováva pôvodné pojmy, rozpracováva princípy a zásady, pridáva nové povinnosti, odstraňuje to, čo bolo sporné a nejasné.

Radikálna zmena nastane najmä pre firmy podnikajúce prostredníctvom internetu.

Taktiež možno konštatovať, že GDPR mení pohľad na vnímanie pojmu „osobný údaj“. Za osobný údaj sa považujú všetky informácie o identifikovanej a identifikovateľnej fyzickej osobe, na základe ktorých je možné fyzickú osobu priamo alebo nepriamo identifikovať. Ochrana nariadenia sa bude vzťahovať aj na údaje, ako sú cookies, geolocations, email, či  IP adresa.

Nové nariadenie rozširuje teritoriálnu pôsobnosť GDPR, nakoľko sa vzťahuje na prevádzkovateľov a sprostredkovateľov z EÚ bez ohľadu na to, či sa spracovanie uskutočňuje v EÚ alebo nie a takisto aj na prevádzkovateľov a sprostredkovateľov mimo EÚ, ktorý spracúvajú osobné údaje dotknutých osôb z EÚ, ak im ponúkajú tovary alebo služby, alebo monitorujú ich správanie v EÚ.

Nové princípy, ktoré sú po novom výslovne uvedené patrí aj požiadavka na minimalizáciu údajov. Prehodnotiť rozsah údajov, dobu uloženia a po uplynutí účelu, na ktorý boli údaje zozbierané, osobné údaje vymazať. Uvedené predstavuje i reštrikciu nekonečnému profilovaniu dotknutých osôb.

V praxi sa dodržiavanie bude preukazovať napr. prostredníctvom zavedenia kódexov správania alebo certifikačnými mechanizmami, či výsledkami spojenými s pravidelným testovaním.

Súhlas so spracovaním osobných údajov bude musieť byť vždy vyjadrený, jasný a zrozumiteľný. Vyžaduje sa, aby bol vždy daný kladný prejav, resp. konkrétne konanie vyjadrujúce súhlas. GDPR kladie na súhlas zvýšený štandard a súčasne preferuje, aby súhlas nepredstavoval primárny základ pre spracovanie osobných údajov, ak je možné vykonávať spracovateľské operácie napr. na základe zmluvy alebo zákona. Pričom na spracovanie osobných  údajov detí si budú musieť podniky zabezpečiť súhlas rodičov so spracovaním osobných údajov detí mladších ako 16 rokov (aj keď existujú niektoré štáty, kde je tento vek znížený až na 13 rokov); čo bude náročné zabezpečovať a dokazovať najmä v on-line prostredí.

Taktiež sa zavádza povinnosť ohlasovať bezpečnostné incidenty jednak dozornému orgánu (bez zbytočného odkladu najneskôr však do 72 hodín odkedy sa o nich dozvedel), i dotknutej osobe za účelom prijatia potrebných opatrení a zamedzeniu možných škôd. Uvedené si vyžiada úpravu systémov za účelom včasnej identifikácie, analyzovania a následného oznamovania bezpečnostných incidentov, ak predstavuje riziko pre práva a slobody jedincov.

GDPR významne rozširuje práva dotknutých osôb, ktoré si vyžiadajú viaceré zmeny v procesoch, na ktoré sa musia firmy adaptovať. Medzi novinky patrí aj legislatívne zakotvenie práva byť zabudnutý, ktoré v sebe zahŕňa i právo na výmaz všetkých údajov týkajúcich sa dotknutej osoby na základe jej žiadosti. Ďalšou novinkou je právo na prenositeľnosť OÚ, ak sa údaje spracovávali na účely plnenia zmluvy alebo na základe súhlasu dotknutej osoby. Toto bude mať význam v prípade, ak sa dotknutá osoba rozhodne zmeniť napr. dodávateľa služieb, môže požiadať pôvodného o prenos údajov k novému sprostredkovateľovi.

Povinnosť vymenovať zodpovednú osobu (Data Protection Officer) bude mať po novom väčšina firiem, ktoré pravidelne monitorujú dotknuté osoby alebo pravidelne spracúvajú citlivé osobné údaje vo veľkom rozsahu. Na Slovensku v porovnaní s inými členskými štátmi táto funkcia existovala, takže nepredstavuje až takú zmenu. Na druhej strane, podľa GDPR DPO musí byť nezávislá osoba. V prípade, ak to bude zamestnanec, bude musieť organizačne podliehať priamo vedeniu firmy (pravidelne reportovať, pravidelne sa vzdelávať, komunikovať s dozorným orgánom).

Novinku predstavuje i tzv. posúdenie vplyvu ochrany osobných údajov, ktorú musí vykonať firma, ak bude zvažovať novú aktivitu, implementáciu nového systému alebo zavedenie nového produktu, ktorý by mohol predstavovať vysoké riziká v súvislosti s ochranou osobných údajov. Súčasťou posúdenia by mal byť i návrh konkrétnych opatrení na zamedzenie alebo minimalizáciu rizika. V prípade, že táto analýza rizík poukáže na vysoké riziko, prevádzkovateľ bude musieť získať predbežný súhlas od Úradu na ochranu osobných údajov,

Historicky po prvýkrát prevádzkovatelia a sprostredkovatelia (t. j. podniky, ktoré spracúvajú osobné údaje v mene iného prevádzkovateľa) budú mať priame regulačné povinnosti a zodpovednosti.

Zavádza sa tzv. princíp „one-stop-shop“, ktorý znamená, že firma, ktorá bude spracúvať osobné údaje obyvateľov viacerých krajín EÚ, bude podliehať právomoci jediného úradu pre ochranu osobných údajov (vo všeobecnosti, úradu toho členského štátu, v ktorom má firma svoje sídlo) s tým, že rozhodnutia tohto orgánu budú dodržiavať (v ktoromkoľvek členskom štáte).

Preto na záver, každý kto pracuje s osobnými údajmi, by si mal položiť nasledovné otázky:

Mám potrebné právne tituly na spracovanie osobných údajov? (Právny titul musí byť každá organizácia schopná kedykoľvek doložiť, či už sa jedná o súhlas, plnenie zmluvy, plnenie právnej povinnosti, verejný záujem, alebo iný verejný záujem prevádzkovateľa (za ktorý sa považujú i marketingové aktivity).

Plním dostatočne svoju informačnú povinnosť v zmysle požiadaviek GDPR?
Dokážem vyhovieť novým právam dotknutých osôb, ako napr. právo na výmaz, prenositeľnosti údajov, právo byť zabudnutý, právo vzniesť námietku atď.

Používam k spracovaniu osobných údajov tretie osoby?
Ak áno, GDPR stanovuje mnoho nových požiadaviek na obsah zmluvy.

Potrebujem k spracovaniu údajov DPO alebo DPIA?
Mam zavedené dostatočné technické a organizačné opatrenia na ochranu osobných údajov?

Ak ste na niektoré otázky odpovedali áno, je nutné začať pracovať na opatreniach smerujúcich k zabezpečeniu súladu s GDPR.


Mgr. Jana Alušíková,
partner


Malata, Pružinský, Hegedüš & Partners s. r. o.

Apollo Business Center II
Prievozská 4/B
821 09 Bratislava

Tel.: +421 2 321 130 31
Fax: +421 2 321 441 48
email: office@mph-advocates.com


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk