Dňa 25. mája 2018 nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR. Toto nariadenie je priamo vykonateľné vo všetkých členských štátoch Európskej únie, vrátane Slovenskej republiky. Na Slovensku sa GDPR premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Nová legislatíva nahradila doterajšiu smernicu na ochranu osobných údajov a zákon č. 122/2013 Z. z.
GDPR prináša zásadné zmeny v pravidlách nakladania s osobnými údajmi a ich ochrany, ktoré si vyžadujú prijatie adekvátnych interných procesov v rámci organizácií. Za osobný údaj sa považuje akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej fyzickej osoby, na základe ktorej je možné túto osobu priamo či nepriamo identifikovať.
Kľúčové zmeny a práva dotknutých osôb
GDPR kladie dôraz na transparentnosť a posilňuje práva fyzických osôb pri spracúvaní ich osobných údajov. Medzi hlavné zmeny patria:
- Posilnenie existujúcich a zavedenie nových práv: Dotknutá osoba má právo na informácie o totožnosti a kontaktných údajoch prevádzkovateľa, zodpovednej osobe, príjemcoch osobných údajov a podmienkach spracúvania. Tieto informácie sa spravidla poskytujú bezplatne.
- Právo na prístup k údajom: Dotknutá osoba má právo požiadať prevádzkovateľa o potvrdenie, či spracúva jej osobné údaje, a o prístup k nim.
- Právo na opravu: Nesprávne alebo neúplné osobné údaje musia byť bez zbytočného odkladu opravené.
- Právo na výmaz (právo na zabudnutie): Ak už osobné údaje nie sú potrebné na účel, na ktorý sa získali, alebo ak dotknutá osoba odvolá súhlas a neexistuje iný právny základ, údaje musia byť vymazané.
- Právo na obmedzenie spracúvania: V presne definovaných prípadoch je možné obmedziť spracúvanie osobných údajov.
- Právo na prenositeľnosť údajov: Umožňuje ľahší prenos osobných údajov medzi poskytovateľmi služieb.
- Právo namietať: Dotknutá osoba môže namietať proti spracúvaniu svojich údajov, najmä na účely priameho marketingu.
- Práva v súvislosti s automatizovaným rozhodovaním a profilovaním: Chránia jednotlivcov pred rozhodnutiami založenými výlučne na automatizovanom spracúvaní, ktoré majú právne účinky.
- Právo odvolať súhlas: Súhlas so spracúvaním osobných údajov je možné kedykoľvek odvolať.
- Právo podať sťažnosť: Dotknutá osoba má právo podať sťažnosť dozornému orgánu.
- Právo na náhradu škody: V prípade porušenia práv má dotknutá osoba nárok na náhradu škody.
- Právo byť informovaný o porušení ochrany osobných údajov: V prípade vážneho porušenia ochrany údajov musia byť dotknuté osoby a príslušné dozorné orgány informované.
Nové povinnosti pre prevádzkovateľov a sprostredkovateľov
GDPR zavádza aj nové povinnosti pre subjekty, ktoré spracúvajú osobné údaje:
- Zásada zodpovednosti (Accountability): Prevádzkovatelia musia byť schopní preukázať súlad s GDPR.
- Posúdenie vplyvu na ochranu údajov (DPIA): Vyžaduje sa v prípade spracúvania, ktoré môže viesť k vysokému riziku pre práva a slobody fyzických osôb.
- Povinnosť viesť záznamy o spracovateľských činnostiach: Namiesto doterajšej evidenčnej povinnosti musia prevádzkovatelia a sprostredkovatelia uchovávať záznamy o svojich spracovateľských činnostiach.
- Menovanie zodpovednej osoby (DPO): Verejné orgány a spoločnosti, ktoré spracúvajú osobné údaje vo veľkom rozsahu alebo špecifické kategórie údajov, musia určiť zodpovednú osobu.
- Zabezpečenie súhlasu: Súhlas so spracúvaním osobných údajov musí byť slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle.
- Ochrana údajov už od návrhu (Privacy by Design) a štandardne (Privacy by Default): Ochrana osobných údajov musí byť integrovaná do procesov a systémov od ich vzniku.
- Medzinárodné prenosy údajov: GDPR definuje pravidlá pre prenos osobných údajov mimo EÚ, vrátane mechanizmov ako sú rozhodnutia o primeranosti, štandardné zmluvné doložky a záväzné vnútropodnikové pravidlá.
Implementácia GDPR v praxi
GDPR zaviedlo jednotný súbor pravidiel pre celú EÚ, čím sa zvýšila právna istota a znížila administratívna záťaž pre podniky. Podniky z krajín mimo EÚ, ktoré ponúkajú tovary alebo služby v EÚ alebo monitorujú správanie jej obyvateľov, musia tiež dodržiavať pravidlá GDPR. Nariadenie podporuje inovácie tým, že stimuluje používanie techník zohľadňujúcich súkromie, ako je pseudonymizácia a šifrovanie.
V praxi sa mnohé organizácie spoliehajú na externých odborníkov pri zabezpečovaní súladu s GDPR. Dôležité je však nielen dodržiavanie formálnych požiadaviek, ale aj skutočné pochopenie a implementácia zásad ochrany osobných údajov. Interná analýza spracovateľských činností, jej zdokumentovanie a prijatie primeraných technických a organizačných opatrení sú kľúčové pre naplnenie princípu zodpovednosti.
Vysvetlenie GDPR: Ako by vám nový zákon o ochrane údajov mohol zmeniť život
Záznamy o spracovateľských činnostiach a právne základy
Podľa GDPR musia organizácie viesť záznamy o svojich spracovateľských činnostiach, ktoré obsahujú špecifické náležitosti. Tieto záznamy slúžia na preukázanie súladu s nariadením. Spracovanie osobných údajov musí byť vždy založené na platnom právnom základe, ako je:
- Plnenie zmluvných povinností
- Plnenie zákonných povinností
- Ochrana životne dôležitých záujmov
- Splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci
- Oprávnený záujem prevádzkovateľa
- Súhlas so spracúvaním osobných údajov
Organizácie ako Slovenská komora sociálnych pracovníkov a asistentov sociálnej práce alebo Vysoká škola zdravotníctva a sociálnej práce sv. Alžbety v Bratislave sú príkladmi prevádzkovateľov, ktorí musia dodržiavať tieto pravidlá pri spracúvaní osobných údajov svojich klientov, študentov či zamestnancov.
GDPR je komplexné nariadenie, ktoré si vyžaduje aktívny prístup k ochrane osobných údajov. Jeho cieľom je posilniť postavenie občanov v digitálnom veku a vytvoriť jednotný rámec pre spracúvanie údajov v celej Európskej únii.
tags: #vseobecne #nariadenie #o #ochrane #osobnych #udajov
