/
/
GDPR
GDPR

Čo je GDPR?

GDPR – General Data Protection Regulation – Nariadenie Európskeho parlamentu a Rady EÚ 2016/679 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe takýchto údajov.

O čo v GDPR ide?

Doteraz ochranu osobných údajov na území EÚ upravovala smernica 95/46/ES – všeobecné neriadenie o ochrane údajov z roku 1995. Na Slovensku ochranu osobných údajov upravoval zákon č. 122/2013 Z.z. o ochrane osobných údajov. Obidve tieto právne úpravy sú zastarané a budú nahradené nariadením GDPR dňa 25.5.2018.

GDPR znamená výrazne posilnenie ochrany osobných údajov. Táto posilnená ochrana prichádza s množstvom nových povinností pre spoločnosti, ktoré spracovávajú osobné údaje.

Dôvodov na zavedenie tejto posilnenej ochrany bolo niekoľko. Občania EÚ význam osobných dát podceňovali. Poskytovanie osobných údajov sa stalo zvykom pri online nákupoch alebo registráciách na rôznych weboch alebo aplikáciách. Jedným z dôvodov bolo aj zistenie, že tajné služby mimo EÚ v minulosti hromadne zhromažďovali rôzne údaje o občanoch EÚ. Taktiež bola doteraz ochrana údajov veľmi zľahčovaná a považovaná za nepotrebnú najmä osobami a firmami, ktoré na ich zhromažďovaní najviac profitovali. Z ohľadom na tieto skutočnosti bolo nutné stanoviť jasné a jednotné pravidlá a o to sa GDPR pokúša.

Vzťahuje sa GDPR aj na mňa alebo moju firmu?

GDPR sa vzťahuje na každého, kto spracováva alebo zhromažďuje osobné údaje občanov EÚ. Vzťahuje sa aj na organizácie a inštitúcie sídliace mimo územia EÚ, ktoré pôsobia na európskom trhu. Nariadenie sa zameriava na všetky inštitúcie, organizácie, firmy a osoby, ktoré prichádzajú do kontaktu s osobnými údajmi zákazníkov, klientov, dodávateľov ale aj zamestnancov. Vzťahuje sa aj na osoby a firmy, ktoré monitorujú a analyzujú chovanie užívateľov na web stránkach, pri používaní aplikácií alebo inteligentných technológií.

Odkedy nadobudne nariadenie GDPR účinnosť?

Všetky spoločnosti, ktoré sú povinné dodržiavať nariadenie GDPR musia svoje pravidlá zosúladiť najneskôr do 25.5.2018

Čo je podľa GDPR považované za osobné údaje?

Zákon o ochrane osobných údajov definuje osobný údaj ako údaj týkajúci sa určenej alebo určiteľnej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu ekonomickú, kultúrnu alebo sociálnu identitu.

Medzi bežné osobné údaje patria meno, pohlavie, vek, dátum narodenia, osobný stav, IP adresa alebo fotografie. Vzhľadom na to, že sa nariadenie GDPR týka aj podnikateľov, patria medzi osobné údaje aj organizačné údaje, ako napríklad telefónne číslo, e-mailová adresa, prípadne identifikačné údaje vydané štátom.

Nariadenie dáva špeciálne do pozornosti spracovanie údajov ako sú napríklad údaje o rase alebo etnickom pôvode, vierovyznaní, politických názoroch, zdravotnom stave, sexuálnej orientácií, členstve v odborových organizáciách alebo údajoch z registra trestov. Do kategórie citlivých osobných údajov po novom patria aj rôzne biometrické a genetické údaje a údaje o deťoch. Spracovanie citlivých osobných údajov sa riadi oveľa prísnejšiemu režimu, na rozdiel od bežných osobných údajov.

Biometrickými údajmi rozumieme osobné údaje vyplývajúce z fyzických alebo fyziologických znakov alebo chovanie fyzickej osoby na základe, ktorých je možné identifikovať konkrétnu osobu. Ako príklad je možné uviesť odtlačky prstov, fotografia tváre, sken dúhovky alebo podpis.

Genetickými údajmi rozumieme osobné údaje vzťahujúce sa na zdedené alebo získané genetické znaky konkrétnej fyzickej osoby, ktoré vyplývajú z analýzy biologických vzoriek tejto osoby alebo z analýzy iných prvkov, ktoré umožňujú získať rovnaké informácie.

Medzi osobné informácie o zdravotnom stave sú zahrnuté všetky informácie, ktoré popisujú fyzický ale aj duševný stav konkrétnej osoby.

Nariadenie GDPR sa nevzťahuje na anonymizované údaje, údaje zosnulých osôb a na údaje získané v rámci čisto osobnej povahy, ktoré nemajú obchodný charakter.

Aké dôležité zmeny GDPR prináša?

GDPR zavádza veľké množstvo nových pravidiel. Ich platnosť a dodržiavanie bude musieť každý spracovateľ alebo správca údajov dokázať po celú dobu spracovania.

Medzi najdôležitejšie zmeny patria:

  • Výrazné zvýšenie pokút pri nedodržaní pravidiel
  • Povinnosť oznamovať porušenie ochrany osobných údajov Úradu na ochranu osobných údajov aj jednotlivcom
  • Zmena podmienok na nomináciu zodpovednej osoby.
  • Prísnejšie podmienky na súhlas pri spracovaní osobných údajov
  • Prísnejšie pravidlá pre sprostredkovateľov
  • Zmeny pri prenosoch osobných dát do zahraničia
  • Pravidlo One-stop-shop

GDPR taktiež prichádza s niekoľkými právami pre jednotlivcov:

  • Právo byť informovaný
  • Právo na prístup k osobným údajom
  • Právo na opravu
  • Právo byť zabudnutý
  • Právo na obmedzenie spracovania
  • Právo na prenositeľnosť údajov
  • Právo vzniesť námietku