Ochrana osobných údajov sa v poslednej dobe stáva stále diskutovanejšou témou. Čoraz častejšie sa stretávame s požiadavkou o danie súhlasu na spracovanie osobných údajov pre potreby spracovania objednávky, zaslania tovaru, reklamného emailu či pre najrôznejšie formy marketingu spoločností. Nie je však zriedkavým úkazom, ak firmy o tento súhlas nepožiadajú, prípadne poskytnú údaje zákazníka ďalej tretím subjektom bez toho, aby nás o tom vopred informovali. O nevyžiadanej pošty v emailovej schránke či telefonátoch od ľudí, ponúkajúcich rôzne služby nehovoriac. Ochrana osobných údajov pritom patrí medzi základné ľudské práva.

V rámci štátov Európskej únie podmienky pre spracúvanie osobných údajov neboli nastavené rovnako, resp. len veľmi okrajovo. Každý štát mal tak v tejto oblasti odlišné pravidlá, ktoré sa často krát nedodržiavali alebo ich porušenie bolo pokutované len mierne. Existoval tak stav akejsi ,,čiastočnej“ ochrany osobných údajov.

Pre potreby zabezpečenia ochrany osobných údajov v čo najvyššej miere vo všetkých štátov EÚ, Slovensko nevynímajúc, tak z dielne Európskej únie vyšlo Nariadenia EP a Rady č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), tiež nazývané aj ako ,,gdpr nariadenie“.

GDPR nariadenie bude od 25. mája 2018 v účinnosti a pravidlá v ňom obsiahnuté budú musieť dodržiavať všetky členské štáty. Ich nedodržanie bude sankcionované pokutou až do výšky 20 miliónov eur alebo do výšky 4% z ročného obratu spoločnosti, čo vo väčšine prípadov môže mať likvidačné následky. Je preto zaiste viac než vhodné, vedieť sa v tejto oblasti orientovať a požiadavkám EÚ prispôsobiť i svoje podnikanie.

Čo sú osobné údaje podľa EÚ?

Nariadenie GDPR za osobné údaje považuje akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Osobným údajom je okrem údajov, ktoré máme uvedené v občianskom preukaze tiež naša emailová adresa, IP adresa, údaje cookies, hlas či odtlačok prsta. Uvedené stanovuje aj zákon o ochrane osobných údajov, ktorý je v SR už dlhšie v platnosti. Nové Nariadenie GDPR ho však istým spôsobom dopĺňa. Okrem iného zavádza prísnejšie podmienky pri poskytovaní súhlasu na spracovanie osobných údajov. Ten by mal byť poskytnutý písomne, ústne či prostredníctvom elektronických prostriedkov. Po novom sa za udelenie súhlasu nebude považovať vopred zaškrtnuté políčko, čo je v dnešnej praxi úplne bežné najmä v rámci e-shopov. Súhlas musí byť udelený slobodne a na konkrétny účel spracovania údajov. Osoba, ktorá súhlas udelí ho môže kedykoľvek odvolať, o čom však musí byť upovedomená ešte pred jeho poskytnutím. Udelenie či odvolanie súhlasu musí byť formulované jednoducho, nie zavádzajúco. Spracovateľ osobných údajov musí vedieť preukázať, že osobné údaje dotknutej osoby spracúva na základe jej súhlasu. Pokiaľ súhlas získaný do dňa nadobudnutia účinnosti Nariadenia nebude získaný v súlade s ním, pre ďalšie spracovanie osobných údajov bude potrebné, aby spracovatelia tieto súhlasy získali opäť, inak im hrozí uloženie likvidačnej pokuty.

Budúci rok už bude tiež možné využiť širšie upravené ,,právo na zabudnutie,“ teda od spracovateľa požadovať výmaz osobných údajov v prípade, ak ich spracováva nezákonne, ak dotknutá osoba súhlas so spracovaním odvolá alebo z ďalších dôvodov, ktoré Nariadenie GDPR upravuje. V prípade využitia tohto práva tiež musí byť zachovaná proporcionalita medzi už zverejnenými údajmi a nákladmi, ktoré spracovateľovi v súvislosti s ich výmazom vzniknú. Žiadosti o využitie práva byť zabudnutý, preto nemusí byť v každom prípade vyhovené.

Novinkou tiež bude povinnosť spracovávať len tie údaje dotknutej osoby, ktoré sú nevyhnutné pre účel spracovania. Takáto minimalizácia má zabezpečiť, aby sa od dotknutých osôb nežiadali nepotrebné a podrobné údaje, napr. pohlavie či vek osoby.

Nariadenie zavádza i povinnosť oznamovať každé porušenie ochrany osobných údajov. Pritom nemusí existovať vysoká pravdepodobnosť zneužitia osobných údajov. Oznamovaná by mala byť napr. aj napohľad menej závažná zámena obálok či strata dokladu obsahujúceho osobné údaje. Dozorným orgánom, ktorému majú byť takéto oznámenia adresované je Úrad pre ochranu osobných údajov Slovenskej republiky. Spoločnosť či fyzická osoba, má na oznámenie o narušení ochrany osobných údajov prísnych 72 hodín od momentu, kedy sa o tom dozvedela. Prípadné zmeškanie tejto lehoty musí byť dozornému orgánu riadne zdôvodnené. Navyše pokiaľ bude v dôsledku narušenia ochrany osobných údajov existovať vysoká pravdepodobnosť ich zneužitia, bude potrebné oznámiť to tiež dotknutým osobám, ktoré svoje osobné údaje poskytli, a ktoré sú vážne ohrozené.

Ďalšie zmeny nastanú v oblasti podmienok menovania zodpovednej osoby. Mnoho spracovateľov, ktorí zodpovednú osobu mali vymenovanú, ju už nebudú musieť mať. Povinnosť nominovať zodpovednú osobu budú mať najmä orgány verejnej moci, verejnoprávne subjekty, spoločnosti vykonávajúce monitorovanie osôb vo veľkom rozsahu či spracovatelia citlivých údajov ako sú napr. údaje o zdravotnom stave.

Po novom prevádzkovateľ nebude musieť mať vypracovaný bezpečnostný projekt. Na druhej strane však nariadenie zavádza právo na prenos údajov medzi prevádzkovateľmi a nové povinnosti pre prevádzkovateľa či sprostredkovateľa osobných údajov.

Nové pravidlá majú prispieť k zabezpečeniu bezpečnosti, slobody a spravodlivosti únie a k posilneniu zbližovania ekonomík vnútorného trhu. A samozrejme k ochrane a prospechu fyzických osôb.