Všeobecné nariadenie GDPR bolo prijaté v apríli 2016, ale platiť začína až od 25. mája 2018 a predstavuje nový právny rámec ochrany osobných údajov v európskom priestore s cieľom obhajovať čo najviac práva občanov EÚ proti neoprávnenému zaobchádzaniu s ich dátami a osobnými údajmi. GDPR sa týka všetkých firiem a inštitúcií, ale aj jednotlivcov a online služieb, ktoré spracúvajú dáta užívateľov. Charakteristická pre Všeobecné nariadenie je jeho univerzálna použiteľnosť vo všetkých štátoch Európskej únie (a Islandu, Nórska a Lichtenštajnska) a teda aj zjednocujúci účinok, pretože jednotné pravidlá pre spracúvanie osobných údajov budú platiť v každom štáte EÚ a troch vymenovaných. Práve zabezpečenie väčšej jednotnosti pravidiel ochrany osobných údajov bolo aj jedným z cieľov prijatia Všeobecného nariadenia. Zámerom zákonodarcov bolo dať európskym občanom väčšiu kontrolu nad tým, čo sa s ich dátami deje. Preto GDPR zavádza astronomické pokuty za porušovanie nových, prísnejších pravidiel a nariaďuje väčším spracovateľom dát zriadiť nezávislú kontrolnú funkciu DPO (Data Protection Officer, tj. zodpovedná osoba). Úlohou DPO bude dohliadať na riadne zaobchádzanie s osobnými dátami a hlásiť možné úniky dát či porušenie zákona. V nasledujúcich kapitolách nájdete zrozumiteľný úvod do celej problematiky.

Prečo potrebuje Európa lepšiu ochranu osobných údajov?

Európska legislatíva, ktorou sa doteraz riadili zákony na ochranu osobných údajov, je zastaralá. V roku 1995, kedy začali platiť súčasné smernice na ochranu osobných údajov, neexistovali sociálne siete, cloudové úložiská ani rad ďalších technológií.

Hoci nové nariadenie GDPR začne platiť až od roku 2018, už teraz vieme, že bude zaostávať za technologickým pokrokom minimálne o päť rokov. Nepočíta s niektorými problémami tzv. internetu vecí (IoT), big data analýz či BYOD z anglického Bring Your Own Device – prax, kedy si zamestnanci nosia do práce vlastný počítač alebo mobil.

Pri prijatí Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (tzv. Dohovor č. 108) pred 36 rokmi v Štrasburgu snáď len skutočných vizionárov napadlo, ako veľmi automatizované bude spracúvanie osobných údajov v dohľadnej budúcnosti. Súkromie je vzácnym statkom, tým vzácnejším, čím viac do nášho života vstupujú a uľahčujú ho výdobytky modernej doby, ktoré tak radi využívame k práci aj zábave.

Ďalším dôvodom pre prijatie nového nariadenia bola zistenie, že tajné služby niektorých štátov mimo európskeho priestoru v minulosti zhromažďovali údaje o občanoch EÚ. S ohľadom na rozdiely vnímania osobnej slobody a zodpovednosti jednotlivca medzi Európou a inými štátmi tak bolo potrebné stanoviť jasné pravidlá ochrany našich práv.

Všeobecné nariadenie vnáša do oblasti ochrany dát nový rozmer a hlavne posilňuje jej spoločenský význam. Ten bol doteraz bagatelizovaný najmä tými, ktorí z rozsiahleho zhromažďovania osobných údajov najviac profitovali. Aj sami občania a aktivisti dlho význam osobných dát podceňovali. Poskytovanie dát sa stalo takmer zvykom, či už pri nakupovaní online, registrácii do aplikácií a služieb, alebo oznamovaním údajov o platobných kartách a osobných dokladoch.

Osobné dáta tvoria dôležitú a neoddeliteľnú súčasť našej osobnej identity. Preto predstavujú pre veľkú škálu subjektov cennú a strategicky významnú komoditu. Z týchto v podstate protichodných záujmov vyplýva nutnosť nastoliť medzi nimi istú rovnováhu, a o to sa práve GDPR pokúša.

Aké zásadné zmeny GDPR prinesie?

Nariadenie so sebou prinesie rovnocennú vymáhateľnosť práva v celej EÚ, rovnaké sankcie a oveľa užšiu spoluprácu dozorných orgánov.

Dopadne totiž skutočne na každého, kto s osobnými údajmi pri svojom podnikaní alebo pôsobení pracuje. Občania EÚ tak opäť získajú kontrolu nad svojimi osobnými údajmi.

GDPR zavádza celý rad nových pravidiel. Ich platnosť a dodržiavanie bude musieť každý prevádzkovateľ aj sprostredkovateľ osobných údajov preukázateľne doložiť po celú dobu spracúvania. Pribudne mu tým veľká administratívna záťaž, bude musieť napríklad dokumentovať, že spracúva iba tie dáta, ktoré sú na konkrétny účel nevyhnutné.

Je pravdou, že mnoho mechanizmov, ktoré GDPR obsahuje, je nám už známa z doterajšej právnej úpravy. Zavádza však aj nové povinnosti, oi. pre spracovateľov údajov, ktorí boli doteraz krytí subjektom prevádzkovateľa.
GDPR dáva ľuďom, ktorým údaje patria (tým hovorí dotknuté osoby), do rúk nové práva. Okrem toho, že budú musieť byť o svojich právach dôkladne informovaní, potom budú môcť po prevádzkovateľoch vyžadovať niečo, čo doteraz nemohli. Ide napríklad o právo namietať proti spracúvaniu, keď prevádzkovateľ po takejto námietke nebude môcť údaje ďalej spracúvať, ak nebude mať k tomu závažné preukázateľné dôvody; alebo o právo na prenosnosť osobných údajov od jedného prevádzkovateľa k druhému, ak sú údaje spracúvané automatizovane. Žiadateľ by mal svoje údaje v tomto prípade získať v štruktúrovanom, strojovo čitateľnom formáte.
Občan by mal tiež mať prístup k údajom, ktoré sú o ňom zhromažďované, a tento prístup by mal byť ideálne priamy a online. Úplne novým elementom je právo na vymazanie a jeho rozšírenie na právo byť zabudnutý, vďaka ktorému môže osoba požadovať, aby boli bez zbytočného odkladu vymazané jej osobné údaje, ak neexistuje právny dôvod na ich ďalšie spracúvanie.
S GDPR dochádza tiež k rozšíreniu definície osobných údajov. Budú k nim patriť i technické parametre ako e-mail, IP adresa alebo tzv. cookies v zariadení užívateľa. Nová je kategória tzv. genetických a biometrických údajov, ktorých spracúvanie bude podliehať prísnejšiemu režimu
Najväčším strašiakom sa stane pre mnohých oznamovacia povinnosť v prípade porušenia bezpečnosti údajov. Už by sa nemalo teda stávať, že sa dozvieme o kauzách masívnych únikov osobných údajov až s odstupom niekoľkých rokov, ako to bolo napr. v kauze spoločnosti Yahoo. Prevádzkovateľ bude musieť po novom ohlásiť únik alebo ohrozenie zabezpečenia osobných údajov Úradu na ochranu osobných údajov najneskôr do 72 hodín od okamihu, keď sa o incidente dozvedel. V niektorých prípadoch bude musieť tiež informovať osoby a subjekty, ktorých sa únik týkal.

Ako bude GDPR aplikované na Slovensku?

Všeobecné nariadenie na ochranu osobných údajov alebo GDPR (General Data Protection Regulation) je doteraz najviac uceleným súborom pravidiel na ochranu dát na svete.

GDPR sa dotkne každého, kto zhromažďuje alebo spracúva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo územia EÚ, ktoré pôsobia na európskom trhu.

Nariadenie mieri na firmy, inštitúcie aj jednotlivcov, ktorí zaobchádzajú s osobnými údajmi – zamestnancov, zákazníkov, klientov alebo dodávateľov, a to naprieč segmentmi a odvetviami. Zasiahne aj tých, ktorí sledujú či analyzujú správanie užívateľov na webe, pri používaní aplikácií alebo inteligentných technológií. Cieľom GDPR je chrániť digitálne práva občanov EÚ.

Či už ide o bankové inštitúcie, zdravotníctvo, verejnú správu, alebo e-shopy, všetci sa budú
v dohľadnej dobe stretávať s nutnosťou upraviť spôsob spracúvania osobných údajov. V prípade závažného porušenia potom budú firmám hroziť vysoké pokuty.

GDPR začne v celé EÚ platiť jednotne od 25. mája 2018. Na Slovensku tak nahradí súčasnú právnu úpravu ochrany osobných údajov v podobe zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ako vyplýva zo zmien a doplnení vykonaných zákonom č. 84/2014 Z. z. Práva a povinnosti v súčasnom zákone o ochrane osobných údajov budú nahradené právami a povinnosťami vyplývajúcimi zo Všeobecného nariadenia. Zákon o ochrane osobných údajov po jeho novele bude už upravovať len niektoré aspekty týkajúce sa Úradu pre ochranu osobných údajov (napr. jeho zriadení, organizácii atď.) a niektoré čiastkové záležitosti potrebné k dotvoreniu celého rámca ochrany osobných údajov, ktoré nie sú Všeobecným nariadením upravené alebo ktoré Všeobecné nariadenie umožňuje upraviť na vnútroštátnej úrovni. U niektorých aspektov dokonca Všeobecné nariadenie predpokladá vnútroštátnu úpravu. Medzi nich patria napríklad aspekty spracúvania osobných údajov na účely výkonu slobody prejavu, práva na informácie, slobody vedeckého bádania a umeleckej tvorby.

Nový zákon 18/2018 Z.z. platný od 25.5.2018 nahradí zákon o ochrane osobných údajov z roku 2013 a slovenský právny poriadok sa tak harmonizuje s GDPR.

To, že nové pravidlá boli prijaté formou európskeho nariadenia, znamená predovšetkým ich jednotnú platnosť vo všetkých štátoch EÚ, aby  ich národné vlády a zákonodarcovia nemohli akokoľvek ohýbať a prispôsobovať miestnym záujmom alebo lobistom.

Obdobie od apríla 2016, kedy bolo GDPR schválené, do mája 2018, kedy vstúpi do platnosti, je určené na prípravu. Počas tejto doby musia všetci, ktorých sa nariadenie týka, zrevidovať svoje informačné systémy a postupy nakladania s osobnými údajmi. Počas tohto obdobia prijmú tiež jednotlivé štáty EÚ vykonávací zákon, ktorým spresnia viac ako päťdesiat bodov, ktoré GDPR zveruje do ich národnej právomoci.

Doteraz bol v oblasti ochrany údajov hlavným slovenským regulátorom Úrad na ochranu osobných údajov (ÚOOÚ), ktorý by mal v tejto funkcii ostať aj naďalej. Pribudnú mu ale právomoci odrážajúce závažnosť celej reformy a zároveň bude čiastočne podriadený Európskemu zboru na ochranu osobných údajov (EDPB). Ak potom nastane akákoľvek pochybnosť o rozhodnutí slovenského regulátora, bude tu vždy existovať možnosť obrátiť sa na EDPB s odvolaním.

Čo považuje GDPR za osobné údaje?

Osobné údaje sú v súčasnej smernici z roku 1995 aj v GDPR definované ako všetky informácie vzťahujúce sa k identifikovanej alebo identifikovateľnej fyzickej osobe.

Medzi všeobecné osobné údaje radíme meno, pohlavie, vek a dátum narodenia, osobný stav, ale aj IP adresu a fotografický záznam. Vzhľadom k tomu, že sa GDPR vzťahuje aj na podnikajúce fyzické osoby, radíme medzi osobné údaje aj tzv. organizačné údaje, ktorými sú napríklad e-mailová adresa, telefónne číslo či rôzne identifikačné údaje vydané štátom.

Všeobecné nariadenie venuje špeciálnu pozornosť spracúvania osobitných kategórií osobných údajov, ktorými sú údaje o rasovom alebo etnickom pôvode, politických názoroch, náboženskom alebo filozofickom vyznaní, členstvo v odboroch, o zdravotnom stave, sexuálnej orientácii a trestných deliktoch či právoplatnom odsúdení. Do kategórie citlivých údajov nariadenia novo zahŕňa genetické, biometrické údaje a osobné údaje detí. Spracúvanie citlivých osobných údajov podlieha oveľa prísnejšiemu režimu, než je tomu u všeobecných údajov.

Genetickými údajmi sú osobné údaje týkajúce sa zdedených alebo získaných genetických znakov určitej fyzickej osoby, ktoré vyplývajú z analýzy biologickej vzorky dotknutej fyzickej osoby alebo
z analýzy iného prvku, ktorá umožňuje získať rovnocenné informácie. Medzi osobné údaje o zdravotnom stave by mali byť zahrnuté všetky údaje súvisiace so zdravotným stavom, ktoré vypovedajú o telesnom alebo duševnom zdraví človeka.

Biometrickým údajom sú osobné údaje vyplývajúce z konkrétneho technického spracovania týkajúce sa fyzických alebo fyziologických znakov alebo znakov správania fyzickej osoby, ktoré umožňujú jedinečnú identifikáciu. Typickým biometrickým údajom je napr. snímka tváre, odtlačok prsta, ale podľa poslednej judikatúry aj podpis.

Naopak, z pôsobnosti GDPR sú vylúčené anonymizované údaje, údaje zosnulých osôb a údaje získané v rámci činnosti čisto osobnej povahy, ktoré nemajú obchodné či inštitucionálny charakter. Týka sa to teda údajov, ktoré spracúvame pre osobnú potrebu a s nikým ich nebudeme zdieľať.

Aké práva dáva GDPR nám ako občanom?

Jeden z najväčších vplyvov nariadenia je výrazné posilnenie práv občanov, alebo tzv. dotknutých osôb. Tieto práva sú najmä právo na prístup, opravu, vymazanie, právo byť zabudnutý, právo na obmedzenie spracúvania, prenosnosť údajov a v neposlednom rade právo namietať.
Ako občania máme právo na všetky údaje, ktoré prevádzkovateľ má o nás k dispozícii, t. j. i k tzv. neštruktúrovaným dátam, ktoré môžu pozostávať z príloh e-mailov, alebo ktoré sú uložené na rôznych interných a externých zdrojoch.
Právo na prístup dáva občanom najmä možnosť overiť si zákonnosť spracúvania ich údajov. Je to takmer absolútne právo dotknutej osoby, s výnimkou prípadov ustanovených v článku 23 nariadenia GDPR, ktorý dáva členským štátom možnosť na obmedzenie tohto práva v záujme národnej a verejnej bezpečnosti, obrany a súdnych konaní.
Príkladom prístupových práv je informácia o zdravotnom stave občana, prístup k údajom v jeho zdravotnej dokumentácii, ktorá obsahuje napr. informácie o diagnóze, výsledky vyšetrení, posudky ošetrujúcich lekárov a informácie o akejkoľvek liečbe alebo intervencii.
Každý občan bude mať právo vedieť a byť informovaný najmä o účeloch, na ktoré sa osobné údaje spracúvajú – poznať dobu, na akú budú údaje uložené, poznať príjemcov svojich osobných údajov, vedieť, v čom spočíva logika automatizovaného spracúvania osobných údajov a aké môžu byť dôsledky takéhoto spracúvania aspoň v prípadoch, v ktorých je spracúvanie založené na profilovaní.
Toto právo by nemalo mať nepriaznivý vplyv na práva a slobody ostatných, napr. obchodného tajomstva alebo práva duševného vlastníctva a najmä autorských práv k ochrane softvéru. Zohľadnenie týchto skutočností by však nemalo viesť k tomu, aby bolo občanom odmietnuté poskytnutie všetkých ich informácií.
V prípade, že máme podozrenie na nesprávnosť našich dát, a to subjektívneho alebo objektívneho charakteru, môžeme požiadať danú spoločnosť o nápravu. PrevádzkovateĽ by mal zabezpečiť podmienky pre to, aby žiadosti o opravu mohli byť podávané on-line, a to najmä v prípade spracúvania osobných údajov elektronickými prostriedkami.

Úplne novým právom podľa GDPR je právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal naše osobné údaje v prípade jedného z nasledujúcich dôvodov:

  • Osobné informácie už nie sú potrebné na účel, na ktorý boli zhromaždené alebo spracúvané.
  • Občan zruší súhlas, ak je spracúvanie na základe súhlasu a nie je žiadny právny dôvod pre spracúvanie.
  • Občan vznesie námietku proti spracúvaniu z dôvodu oprávnených záujmov prevádzkovateľa osobných údajov, ako je napr. vedenie záznamov o zamestnancoch.
  • Osobné údaje boli spracúvané nezákonne.

  • Ak nie je daný rodičovský súhlas so spracúvaním osobných údajov detí.
  • Právna povinnosť stanovená právom Únie alebo členským štátom.

Právo byť zabudnutý je rozšíreným právom na výmaz. Spočíva v prevedení primeraných krokov, vrátane technických opatrení, k vymazaniu všetkých odkazov na osobné údaje žiadateľa a ich kópie. Tu však GDPR uvádza rad výnimiek, a preto bude v praxi dosť zložité právo uplatniť, najmä v prípadoch, keď sú naše osobné údaje spracúvané štátnymi inštitúciami.
Ak konkrétna osoba nebude mať možnosť uplatniť právo na vymazanie, tak potom mu GDPR umožňuje uplatniť aspoň právo namietať a tým donútiť spoločnosť k obmedzenému spracúvaniu tých údajov, ktoré sú predmetom uplatnenej námietky.
Spôsoby, ako obmedziť spracúvanie osobných údajov, by mohli okrem iného zahŕňať dočasný presun vybraných údajov do iného systému spracúvania, zneprístupnenie vybraných osobných údajov užívateľom alebo dočasné odstránenie zverejnených údajov z internetových stránok.
V systémoch automatizovaného spracúvania by obmedzenie spracúvania malo byť zabezpečené technickými prostriedkami tak, aby sa na osobné údaje už nevzťahovali žiadne ďalšie operácie spracúvania a aby nemohli byť zmenené. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by mala byť v systéme jasne vyznačená.
Veľmi dôležitým pravidlom pri žiadosti o vymazanie, ktoré GDPR prináša, je krátky časový termín (48 hodín), ktoré má prevádzkovateľ na vyriešenie takejto požiadavky. Je v takom prípade na mieste mať k dispozícii technológie, ktoré umožnia na základe zadaných parametrov (napr. rodné číslo) rýchle prehľadanie všetkých systémov, v ktorých sú osobné údaje spracúvané s následným reportom lokalizácie takých údajov.
Nemenej dôležitým právom, ktoré nariadenie novo zavádza, je právo na prenosnosť, ktoré je v podstate rozšíreným právom prístupu a môže byť dotknutou osobou uplatnené za splnenia dvoch podmienok, ktoré musia nastať súčasne:
1. spracúvanie je založené na súhlase občana alebo na zmluve; a
2. je vykonávané automatizovane.

Aby mal občan väčšiu kontrolu nad svojimi údajmi, mal by v prípade, keď sa osobné údaje spracúvajú automatizovane, mať tiež právo získať osobné údaje, ktoré sa ho týkajú a ktoré poskytol prevádzkovateľovi, v štruktúrovanom, bežne používanom, strojovo čitateľnom formáte a odovzdať ich inému prevádzkovateľovi. Vzhľadom ku svojej povahe by toto právo nemalo byť uplatňované voči prevádzkovateľom, ktorí spracúvajú osobné údaje v rámci výkonu verejnej moci. Ak sa určitý súbor osobných údajov týka viac ako jednej dotknutej osoby, nemali by byť právom získať osobné údaje dotknuté práva a slobody iných dotknutých osôb podľa tohto nariadenia.

Aké povinnosti ukladá GDPR inštitúciám a firmám?

Teraz platná smernica 95/46 / ES stanovila všeobecnú povinnosť oznamovať spracúvanie osobných údajov dozorným úradom.

Táto povinnosť predstavuje záťaž pre firmy, avšak neprispela k zlepšeniu ochrany osobných údajov. Preto bude táto všeobecná ohlasovacia povinnosť nariadením zrušená a nahradená účinnejšími postupmi a mechanizmami, ktoré sa zamerajú na postupy spracúvania, ktoré môžu predstavovať vysoké riziko pre práva a slobody občanov.

Nariadenie novo zavádza princíp tzv. zodpovednosti, ktorý spočíva v povinnosti prevádzkovateľov a sprostredkovateľov údajov bez ohľadu na ich veľkosť alebo počet zamestnancov zaviesť technické, organizačné a procesné opatrenia na preukázanie súladu s princípmi GDPR. Uplatnenie princípu zodpovednosti bude predstavovať pre podnikateľov nemalé časové a finančné investície. Tie sa budú týkať najmä týchto oblastí:

  • implementácia zámernej a nevyhnutnej ochrany dát
  • vypracovanie posúdenia vplyvu na ochranu osobných údajov, v angličtine DPIA čiže Data Protection Impact Assessment
  • menovanie zodpovednej osoby, čiže DPO (Data Protection Officer)
  • zavedenie tzv. pseudonymizácie osobných údajov
  • vedenie záznamov o činnostiach spracúvania
  • konzultácie s dozorným orgánom pred samotným spracúvaním osobných údajov

DPIA čiže posúdenie vplyvu na ochranu osobných údajov bude úplnou novinkou. Spoločnosti alebo inštitúcie ho budú musieť vypracovať, ak vykonávajú systematické a rozsiahle vyhodnocovanie osobných údajov, ktoré je založené na automatizovanom spracúvaní vrátane profilovania. Typickým príkladom je činnosť bánk, poisťovní, lízingových či iných finančných inštitúcií. Algoritmickým posúdením informácií o klientovi vyhodnocujú jeho situáciu za účelom ponuky služby.

Významnou skupinou firiem, ktorá bude musieť čeliť tejto administratívnej povinnosti, sú spoločnosti poskytujúce vernostné programy, online alebo telekomunikačné služby založené na lokalizačných dátach alebo cielenú behaviorálnu reklamu.

Obdobnú povinnosť budú mať tiež všetky spoločnosti alebo inštitúcie, ktoré v rozsiahlom objeme spracúvajú citlivé osobné údaje alebo systematicky monitorujú verejne prístupné priestory. Príkladom tejto kategórie spoločností sú bezpečnostné agentúry, zdravotné poisťovne alebo nemocnice.

Aby prevádzkovateľ mohol doložiť súlad s GDPR, mal by prijať vnútorné koncepcie, vykonať procesné zmeny a zaviesť opatrenia, ktoré dodržiavajú najmä zásady zámernej a štandardnej ochrany osobných údajov. Tieto opatrenia by mali okrem iného spočívať
v minimalizácii spracúvania osobných údajov, v ich čo najrýchlejšej pseudonymizácii,
v transparentnosti s ohľadom na účely a spracúvanie osobných údajov a v umožnení prístupu občanov k ich údajom.

Pseudonymizácia – identita dotknutej osoby je uchovávaná len v jednej (centrálnej) databáze a ostatné informačné systémy uchovávajú dáta v anonymizovanej podobe. Ide o reverzibilnú (vratnú) anonymizáciu, pričom ako referencia sa najčastejšie používa bezvýznamový identifikátor, pomocou ktorého je možné opätovne určiť, ku ktorej identite dáta patria. Tento princíp znižuje riziko porušenia dôvernosti osobných údajov.

Anonymizácia – taká zmena osobných údajov, po ktorej už tieto osobné údaje nemožno prideliť určitému zistiteľnému jednotlivcovi, alebo tak možno urobiť len s vynaložením nepomerne veľkého úsilia z hľadiska času, nákladov a práce.

Ďalším princípom spadajúcim do oblasti zodpovednosti je povinnosť prevádzkovateľov alebo sprostredkovateľov viesť záznamy o činnostiach spracúvania, za ktoré zodpovedajú. Každý prevádzkovateľ a sprostredkovateľ bude povinný spolupracovať s dozorným úradom a na jeho žiadosť mu tieto záznamy sprístupniť, aby na ich základe mohli byť tieto operácie spracúvania monitorované.

Tieto záznamy o činnostiach musia obsahovať nasledujúce informácie:

  • meno a kontaktné údaje prevádzkovateľa a sprostredkovateľa vrátane mena DPO
  • účely spracúvania
  • popis kategórií dotknutých osôb a kategórií osobných údajov
  • kategórie príjemcov, ktorým boli alebo budú údaje sprístupnené
  • informácie o medzinárodnom prenose osobných údajov
  • lehoty pre výmaz jednotlivých kategórií údajov
  • popis technických a organizačných opatrení

Výnimky z povinnosti viesť záznamy o činnostiach spracúvania je možné uplatniť pre organizáciu s menej ako 250 zamestnancami, ak spracúvanie osobných údajov nie je ich hlavnou činnosťou, neexistuje u nich riziko pre práva a slobody osôb a tieto organizácie nespracúvajú citlivé údaje.

DPO čiže Poverenec pre ochranu osobných údajov

Dôležitým pilierom preukázanie dodržania GDPR je vymenovanie tzv. zodpovednej osoby čiže DPO (anglicky Data Protection Officer).
Hlavnou úlohou DPO bude monitorovanie súladu spracúvania osobných údajov s povinnosťami vyplývajúcimi z nariadenia GDPR, vykonávanie interných auditov, školenia pracovníkov a celkové riadenie agendy internej ochrany osobných dát.

Povinnosť zodpovednú osobu menovať nastáva v troch prípadoch, ak:

  1. spracúvanie vykonáva verejný orgán alebo verejný subjekt (okrem súdov),
  2. hlavné činnosti prevádzkovateľa a sprostredkovateľa spočívajú v operáciách spracúvania, ktoré vyžadujú rozsiahle pravidelné a systematické monitorovanie občanov,
  3. hlavné činnosti prevádzkovateľa a sprostredkovateľa spočívajú v rozsiahlom spracúvaní osobitných kategórií údajov alebo osobných údajov týkajúcich sa rozsudkov v trestných veciach a trestných činov.

Vo všetkých troch prípadoch by mala prevádzkovateľovi alebo sprostredkovateľovi pomáhať osoba
s odbornými znalosťami v oblasti právnych predpisov a postupov týkajúcich sa ochrany údajov. Títo splnomocnenci bez ohľadu na to, či ide o zamestnancov prevádzkovateľa alebo externe poskytovanú službu, by mali byť schopní plniť svoje povinnosti a úlohy nezávislým spôsobom. Niektoré organizácie môžu dospieť k záveru, že dobrovoľné vymenovanie zodpovednej osoby môže byť užitočné, čo budú dozorné orgány podporovať.
Úloha vo verejnom záujme a výkon verejnej moci môže byť plnený nielen štátnym orgánom, ale aj inými fyzickými alebo právnickými osobami, ktorým je táto právomoc zverená na základe národných predpisov. Môže ísť napríklad o oblasť verejnej dopravy, zásobovanie vodou a energiami, cestnú infraštruktúru alebo verejnoprávne vysielanie.
Podľa nariadenia môže byť jediná zodpovedná osoba menovaná aj pre niekoľko štátnych orgánov, inštitúcií či firiem, ktoré majú podobnú organizačnú štruktúru. V zodpovednosti zodpovednej osoby sú rozmanité úlohy, preto musí prevádzkovateľ zabezpečiť, aby ich jediná zodpovedná osoba zvládla plniť efektívne aj napriek tomu, že má zodpovednosť za niekoľko verejných orgánov alebo verejných subjektov. Osobná dostupnosť zodpovednej osoby(fyzická v rovnakých priestoroch ako zamestnanci, po horúcej linke alebo iným bezpečnostným komunikačným prostriedkom) je nevyhnutná, aby mal občan istotu, že ho dokáže kontaktovať. Zodpovedná osoba je pri výkone svojich úloh viazaná tajomstvom alebo dôvernosťou v súlade s právom Únie alebo členských štátov.

Príklady rozsiahleho spracúvania osobných údajov:

  • spracúvanie údajov o pacientoch v rámci bežnej činnosti nemocnice
  • spracúvanie cestovných dát jednotlivcov používajúcich mestskú hromadnú dopravu (napr. sledovanie prostredníctvom čipovej preukážky)
  • spracúvanie údajov o aktuálnej zemepisnej polohe zákazníkov
  • spracúvanie zákazníckych dát v rámci bežnej obchodnej činnosti poisťovne alebo banky
  • spracúvanie osobných údajov vyhľadávačom pre potreby behaviorálnej reklamy
  • spracúvanie obsahových, prevádzkových alebo lokalizačných údajov poskytovateľom telefónnych a internetových služieb

Príklady spracovania, ktoré nie sú rozsiahle:

  • spracúvanie údajov o pacientoch jednotlivými lekármi
  • spracúvanie osobných údajov týkajúce sa rozsudkov v trestných veciach a trestných činov jednotlivými právnikmi

Pravidelné a systematické monitorovanie jasne zahŕňa všetky formy sledovania a profilovania na internete, aj na účely behaviorálnej reklamy. Uveďme opäť pár príkladov:

  • prevádzkovanie telekomunikačnej siete alebo telekomunikačných služieb
  • cielenie internetovej reklamy pomocou e-mailu
  • cookies
  • profilovanie a bodovanie (skórovanie) na účely hodnotenia rizika (napr. na účely hodnotenia úverovej bonity, stanovenie výšky poistného, ​​predchádzanie podvodom, odhaľovanie prania špinavých peňazí)
  • sledovania polohy, napríklad u mobilných aplikácií
  • vernostné programy
  • behaviorálna reklama; sledovanie zdravého životného štýlu, telesnej kondície a zdravotných dát napr. pomocou na tele nositeľných zariadení
  • kamerové systémy

Zodpovedné osoby (DPO) nenesú osobnú zodpovednosť za nedodržiavanie GDPR. Nariadenie jasne uvádza, že sú to prevádzkovatelia alebo sprostredkovatelia, ktorí musia zabezpečiť a byť schopní doložiť, že spracúvanie je vykonávané v súlade s GDPR. Právny súlad v oblasti ochrany dát je zodpovednosťou prevádzkovateľa alebo sprostredkovateľa.
Hoci nariadenie výslovne neupresňuje, aké profesijné kvality by pri vymenovaní zodpovednej osoby mali byť zvažované, podstatné by mali byť vedomosti z oblasti národnej a európskej legislatívy a praxe v odbore ochrany osobných údajov a dôkladná znalosť GDPR. Užitočná je znalosť odboru podnikania a chodu organizácie. Zodpovedná osoba by tiež mala mať dostatočnú znalosť vykonávaných operácií spracúvania, rovnako ako informačných systémov a technického zabezpečenia dát.
Neprítomnosť konfliktu záujmov úzko súvisí s požiadavkou nezávislého rokovania. Hoci zodpovedné osoby smú mať aj iné funkcie, môžu im byť pridelené iba úlohy a povinnosti, ktoré nezakladajú konflikt záujmov. Predovšetkým z toho vyplýva, že zodpovedná osoba v organizácii nemôže zastávať pracovné miesto, na ktorom by stanovil účely a prostriedky spracúvania osobných údajov. Typickým príkladom pozícií, pri ktorých by výkon funkcie DPO mohol predstavovať konflikt záujmov, sú riaditelia IT alebo personálnych oddelení, ale tiež marketingový alebo obchodný riaditeľ, ktorí v rámci výkonu svojich právomocí môžu určovať pravidlá zaobchádzania s osobnými údajmi zákazníkov alebo klientov.
Funkciu zodpovednej osoby je možné vykonávať na základe zmluvy o poskytovaní služieb uzatvorenej medzi jednotlivcom alebo externým subjektom (iným ako subjekt prevádzkovateľa alebo sprostredkovateľa).
V poslednom uvedenom prípade je dôležité, aby každý pracovník organizácie vykonávajúci funkciu DPO spĺňal všetky príslušné požiadavky GDPR, a teda napr. nebol v konflikte záujmov.
Rovnako tak je dôležité, aby každý takýto pracovník bol chránený ustanoveniami GDPR. Napríklad zmluva o poskytovaní služieb nemá byť nespravodlivo vypovedaná v dôsledku činnosti zodpovednej osoby a tiež žiadny pracovník organizácie vykonávajúci úlohy zodpovednej osoby nemá byť nespravodlivo prepustený. Je tiež možné kombinovať individuálne schopnosti a silné stránky, takže viac spolupracovníkov v tíme môže účinnejšie poskytovať služby svojim klientom.

Aké sankcie hrozia firmám, ktoré budú GDPR ignorovať

V prípade porušenia, nezavedenia alebo nepripravenosti na nové nariadenie hrozia povinným subjektom vysoké pokuty, ktoré môžu byť v mnohých prípadoch až likvidačné.
GDPR po vzore predpisov na ochranu hospodárskej súťaže zavádza niekoľkonásobne vyššie pokuty, než sme boli doposiaľ zvyknutí. Ich maximálna výška je 20.000.000 eur alebo 4% z celkového ročného obratu spoločnosti (vyššia z oboch možností) a bude závisieť od mnohých faktorov, ako je napr. povaha, závažnosť a dĺžka porušovania, počet poškodených občanov a miera škody, kroky podniknuté prevádzkovateľom či sprostredkovateľom na zmiernenie škôd, kategórie osobných údajov dotknuté porušením a rad ďalších.
Je dôležité zdôrazniť, že maximálna výška pokuty môže byť udelená ako menšej spoločnosti s piatimi zamestnancami, tak veľkej nadnárodnej korporácii, pokiaľ neurobí kroky potrebné na uvedenie do súladu s princípmi a povinnosťami vyplývajúcimi z GDPR.
Okrem udelenia týchto správnych pokút môžu byť prevádzkovatelia alebo sprostredkovatelia osobných údajov navyše vystavení žalobám podaným fyzickými osobami s nárokom na náhradu škody v prípade hmotnej alebo nehmotnej ujmy. V neposlednom rade sú spoločnosti vystavené strate dôvery a dobrého mena spôsobenými nesprávnym zaobchádzaním s osobnými údajmi.