Dňa 25. 5. 2018 nadobúda účinnosť GDPR čiže Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním a zhromažďovaním osobných údajov, resp. s ich prenosom, zdieľaním a likvidáciou. Je to nová legislatíva, prinášajúca zásadné posilnenie ochrany osobných údajov a množstvo nových povinností alebo zmeny existujúcich povinností pre všetkých správcov a spracovateľov osobných údajov.

GDPR sa dotkne v rôznej miere všetkých podnikajúcich subjektov. V tomto článku sa dozviete, čo je to GDPR, aké povinnosti pre Vás z GDPR vyplývajú a ako GDPR úspešne implementovať.

Spracovávate osobné údaje?

Osobné údaje spracovávate aj v prípadoch, kde by ste to možno nečakali, napr. keď:

  • prevádzkujete web s on-line kontaktným formulárom
  • rozosielate newsletter
  • uvádzate skutočné mená alebo kontakty osôb na svojich stránkach
  • prevádzkujete e-shop
  • máte webové stránky s cookies
  • máte aspoň jedného zamestnanca
  • alebo len predávate tovar a služby klientom na základe faktúry a pod.

Prichádzate tak do kontaktu s osobnými údajmi a máte povinnosť tieto dáta chrániť pred únikom a zodpovedáte za ich zabezpečenie.  (Zdroj: gdpr.keymaker.cz)

GDPR

GDPR jednoducho povedané určuje pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov. Presnejšie sa jedná o Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

Nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov. Voľný pohyb osobných údajov v rámci Únie sa nesmie obmedziť ani zakázať z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. Úplné znenie zákona si môžete prečítať tu: https://eur-lex.europa.eu.

Spracúvanie osobných údajov

Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

Úlohou smernice Európskeho parlamentu a Rady 95/46/ES je harmonizovať ochranu základných práv a slobôd fyzických osôb v súvislosti so spracovateľskými činnosťami a zabezpečiť voľný tok osobných údajov medzi členskými štátmi.

Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu. Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. Toto nariadenie rešpektuje všetky základné práva a dodržiava slobody a zásady uznané v Charte, ako sú zakotvené v zmluvách, najmä rešpektovanie súkromného a rodinného života, obydlia a komunikácie, ochrana osobných údajov, sloboda myslenia, svedomia a náboženského vyznania, sloboda prejavu a právo na informácie, sloboda podnikania, právo na účinný prostriedok nápravy a na spravodlivý proces, a kultúrna, náboženská a jazyková rozmanitosť. (Zdroj: https://eur-lex.europa.eu)

Právo na ochranu údajov fyzických osôb

Ochrana fyzických osôb v súvislosti so spracúvaním osobných údajov patrí medzi základné práva. V článku 8 ods. 1 Charty základných práv Európskej únie a v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ZFEÚ) sa stanovuje, že každý má právo na ochranu osobných údajov, ktoré sa ho týkajú.

V zásadách a pravidlách ochrany fyzických osôb pri spracúvaní ich osobných údajov by sa bez ohľadu na ich štátnu príslušnosť alebo bydlisko mali rešpektovať ich základné práva a slobody, najmä ich právo na ochranu osobných údajov. Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v rámci vnútorného trhu a ku prospechu fyzických osôb.

GDPR – základné pojmy a definície

Pozrite si základné pojmy a definície, ktoré súvisia s tzv. Zákonom o GDPR:

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby;

Spracúvanie je operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami;

Obmedzenie spracúvania je označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti;

Profilovanie je akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom;

Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe;

Informačný systém je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe;

Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Únie alebo v práve členského štátu;

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa;

Príjemca je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade s právom Únie alebo právom členského štátu, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s uplatniteľnými pravidlami ochrany údajov v závislosti od účelov spracúvania;

Tretia strana je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt než dotknutá osoba, prevádzkovateľ, sprostredkovateľ a osoby, ktoré sú na základe priameho poverenia prevádzkovateľa alebo sprostredkovateľa poverené spracúvaním osobných údajov;

Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka;

Porušenie ochrany osobných údajov je porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim;

Povinnosti vyplývajúce z GDPR

Ak sa už riadite zákonom č. 101/2000 Zb. O ochrane osobných údajov, potom máte polovicu práce za sebou. Pretože GDPR ho upresňuje a dopĺňa v niektorých ďalších oblastiach.

Povinnosti, ktoré vyplývajú z GDPR:

  • Informovať užívateľov/občanov o tom, prečo zbierate dáta, ako dlho ich budete uchovávať a kto ďalší sa k dátam dostane.
  • Požiadať o jasný a slobodný súhlas pred tým, ako začnete dáta zbierať.
  • Ak už dáta zbierate, musíte všetkých užívateľov opäť požiadať o súhlas so spracovaním ich údajov.
  • Umožniť užívateľovi prístup k jeho dátam.
  • Umožniť užívateľom požiadať o vymazanie ich dát.
  • Upozorniť užívateľa, že došlo k úniku dát.

Ako implementovať GDPR?

V prípade, že pravidlá ešte nemáte implementované, stále máte ešte niekoľko týždňov. Odporúčame sa ale na príchod týchto nových pravidiel dobre pripraviť. Ak hľadáte niekoho, kto by Vám s implementáciou GDPR pravidiel na Vašich webových stránkach pomohol, kontaktujte nás. Pripravíme Vám ponuku, spracujeme analýzu a GDPR úspešne implementujeme.

Autor: Ing. Tomáš Černaj
Autor pracuje pre KeyMaker s.r.o.


Pridaj komentár

Štítky: